Seguridad en Wi-Fi público: protege tus datos en redes abiertas

Lectura de 10 min aprox.

El Wi-Fi público conlleva el riesgo de que el tráfico no cifrado sea interceptado, y el uso de una VPN es la contramedida más eficaz. Al utilizar Wi-Fi gratuito en cafeterías o aeropuertos, activa siempre tu VPN antes de conectarte.

El Wi-Fi gratuito ofrecido en cafeterías, aeropuertos, hoteles y estaciones de tren es conveniente, pero conlleva riesgos de seguridad. La interceptación de tráfico no cifrado o la conexión a puntos de acceso falsos pueden provocar el robo de contraseñas e información personal. Una encuesta de Forbes Advisor de 2024 reveló que más del 40% de los usuarios de Wi-Fi público sufrieron compromisos de información durante su uso, y la misma tendencia continúa en 2025. Además, datos de Statista de 2024 muestran que el número de puntos de acceso Wi-Fi públicos en el mundo supera los 500 millones, ampliando la superficie de ataque año tras año. Este artículo explica los riesgos específicos del Wi-Fi público, las contramedidas y cómo preparar contraseñas con antelación usando passtsuku.com.

Riesgos ocultos en el Wi-Fi público

Cómo funcionan los ataques de intermediario (MITM)

Un ataque de intermediario es una técnica en la que un atacante se interpone entre dos partes que se comunican para interceptar y alterar los datos intercambiados. En una red Wi-Fi pública, el atacante puede realizar este ataque simplemente conectándose a la misma red. El tráfico HTTP sin cifrar es obviamente vulnerable, pero incluso las conexiones HTTPS pueden ser atacadas en redes mal configuradas.

Para comprender el trasfondo técnico de los ataques MITM, es necesario conocer cómo funciona ARP (Address Resolution Protocol). ARP asocia direcciones IP con direcciones MAC en una red, pero carece de mecanismo de autenticación, lo que permite a los atacantes enviar respuestas ARP falsificadas y hacerse pasar por el router. Esta técnica, conocida como ARP spoofing, hace que todo el tráfico de la víctima pase por el dispositivo del atacante. El atacante extrae información sensible como credenciales de inicio de sesión, contenido de correos electrónicos y números de tarjetas de crédito de los datos interceptados. Lo aterrador de este ataque es que los usuarios continúan utilizando los servicios con normalidad sin darse cuenta de que su tráfico está siendo interceptado.

Además, la mayoría de las redes Wi-Fi públicas utilizan WPA2-Personal (modo de frase de contraseña compartida), que tiene una debilidad estructural donde todos los usuarios que conocen la misma frase de contraseña pueden descifrar el tráfico de los demás. WPA2-Enterprise (autenticación 802.1X) genera claves de cifrado individuales por usuario, mitigando este problema, pero su adopción en Wi-Fi público sigue siendo limitada debido al costo y la complejidad operativa.

Escucha de comunicaciones (Packet Sniffing)

El packet sniffing es una técnica que captura y analiza los paquetes de datos que fluyen por una red. En entornos como el Wi-Fi público, donde muchos usuarios comparten la misma red, un atacante puede obtener fácilmente el tráfico de otros usuarios simplemente usando software especializado. También es importante señalar que las herramientas de captura de paquetes se utilizan para fines legítimos de administración de redes, lo que dificulta detectar y bloquear su presencia.

Para comprender cómo funciona la interceptación de tráfico, guías de captura de paquetes y análisis de redes (Amazon) también pueden ser útiles.

Cómo funcionan los puntos de acceso falsos (ataques Evil Twin)

Un ataque Evil Twin es una técnica en la que un atacante configura un punto de acceso con el mismo nombre o uno similar al de una red Wi-Fi legítima para atraer a los usuarios. Por ejemplo, mientras el Wi-Fi legítimo de una cafetería es "CafeWiFi", el atacante configura un punto de acceso llamado "CafeWiFi_Free". Cuando los usuarios se conectan por error al punto de acceso falso, todo su tráfico pasa a través del atacante.

La razón técnica por la que este ataque es tan fácil de ejecutar es que el protocolo de conexión Wi-Fi (IEEE 802.11) no tiene un mecanismo estándar para verificar la identidad de los puntos de acceso. Los clientes (smartphones y PCs) seleccionan los destinos de conexión basándose únicamente en el SSID (nombre de red) y la intensidad de la señal, por lo que si un atacante configura el mismo SSID y emite una señal más fuerte, los dispositivos preferirán automáticamente el punto de acceso falso. El equipo necesario para el ataque es solo un portátil y un adaptador Wi-Fi comercial, con un costo total de apenas unas decenas de euros. Esta facilidad de ejecución hace que los ataques Evil Twin sean una amenaza seria.

Un punto que a menudo se pasa por alto es que muchos smartphones cambian automáticamente a la señal más fuerte cuando encuentran puntos de acceso con el mismo SSID. Si un atacante emite una señal más fuerte que el punto de acceso legítimo, los usuarios pueden conectarse sin saberlo al falso. Combinado con DNS spoofing, también se han reportado ataques sofisticados que redirigen a los usuarios a páginas de inicio de sesión falsas para robar credenciales.

Contramedidas para usar el Wi-Fi público de forma segura

Utiliza una VPN

Una VPN (Red Privada Virtual) construye un túnel cifrado entre tu dispositivo y un servidor para proteger tu tráfico. Activar una VPN al usar Wi-Fi público significa que, aunque el tráfico sea interceptado, no podrá ser descifrado. Elige un servicio VPN confiable y adquiere el hábito de iniciar tu VPN antes de conectarte a Wi-Fi público. Para más detalles sobre cómo funcionan las VPN y criterios de selección, consulta Fundamentos de VPN y cómo elegir.

Un punto importante al elegir una VPN es que algunos servicios VPN gratuitos venden los datos de tráfico de los usuarios a terceros. Un estudio de CSIRO informó que el 38% de las aplicaciones VPN gratuitas para Android contenían malware. Dado que el propósito de usar una VPN es la protección de la privacidad, es importante elegir un servicio de pago que declare explícitamente una política de no registros y haya sido sometido a auditorías de terceros. Para conexiones VPN en movimiento, routers de viaje portátiles compatibles con VPN (Amazon) también son una opción.

Verifica HTTPS

Al acceder a sitios web, verifica siempre que "https://" aparezca en la barra de direcciones. HTTPS (SSL/TLS) cifra la comunicación, previniendo la escucha mediante packet sniffing. Sin embargo, HTTPS por sí solo no es una defensa suficiente cuando se está conectado a un punto de acceso falso, por lo que se recomienda combinarlo con una VPN. Comprender los fundamentos del cifrado aclarará por qué HTTPS solo no es suficiente en algunos casos.

Desactiva la conexión automática

La función de conexión automática Wi-Fi en smartphones y portátiles se conecta automáticamente cuando detecta un nombre de red al que te has conectado anteriormente. Los atacantes explotan esto configurando puntos de acceso falsos con nombres Wi-Fi comunes como "Free_WiFi" o "Public_WiFi". En lugares públicos, desactiva la conexión automática y selecciona manualmente tu conexión. Después de usarla, ejecuta "Olvidar esta red" para eliminar el SSID del Wi-Fi público de la lista guardada de tu dispositivo, previniendo de forma fiable futuras conexiones automáticas.

VPN vs HTTPS vs evitar el Wi-Fi público - Comparación de contramedidas

Comparemos las principales defensas contra los riesgos del Wi-Fi público. Ninguna es perfecta por sí sola, y combinarlas es esencial.

• VPN: Protege todo el tráfico a través de un túnel cifrado. Eficaz contra ataques MITM y packet sniffing, pero depende de la fiabilidad del servicio VPN. Cuesta aproximadamente 5–15 € al mes
• HTTPS: Cifra la comunicación entre el navegador y el servidor. Sin costo adicional y la mayoría de los sitios ya lo soportan, pero las consultas DNS y los nombres de dominio de destino no están cifrados, por lo que se pueden identificar los destinos de navegación. También existe riesgo de SSL stripping bajo ataques Evil Twin
• Evitar el Wi-Fi público (datos móviles): La defensa más fiable ya que no te conectas a la red objetivo. Sin embargo, los límites de datos y las tarifas de roaming pueden ser un problema
• Activar el firewall: Activar el firewall integrado del sistema operativo bloquea conexiones entrantes innecesarias. Combinado con otras medidas, añade una capa adicional de defensa

Como recomendación práctica, la defensa de tres capas "VPN + verificación HTTPS + firewall activado" ofrece el mejor equilibrio. Cuando los datos móviles estén disponibles, realiza operaciones sensibles como banca y correo electrónico a través de la conexión móvil, y limita el Wi-Fi público a usos de baja sensibilidad como streaming de video y búsqueda en mapas. Para medidas de seguridad integrales durante viajes, consulta también Medidas de ciberseguridad durante viajes.

Concepto erróneo común: "HTTPS hace seguro el Wi-Fi público"

El concepto erróneo de que "si un sitio usa HTTPS, el Wi-Fi público es seguro" persiste. Si bien HTTPS cifra el contenido de la comunicación, es necesario comprender las siguientes limitaciones.

• Las consultas DNS no están cifradas: Qué sitios visitas es visible para administradores de red y atacantes. A menos que DNS over HTTPS (DoH) esté habilitado, tu historial de navegación queda expuesto
• Ataques de SSL stripping: Una técnica donde un atacante en posición MITM mantiene HTTPS con el servidor mientras degrada la conexión a HTTP con la víctima. Pasa desapercibido a menos que verifiques cuidadosamente la barra de direcciones del navegador
• Desensibilización a advertencias de certificados falsos: Cuando los atacantes usan certificados autofirmados, los navegadores muestran advertencias, pero muchos usuarios las ignoran y continúan con la conexión

HTTPS es una capa de defensa importante, pero en un entorno de Wi-Fi público, la protección adecuada solo se logra cuando se combina con una VPN. Para una comprensión sistemática de los fundamentos de la tecnología de cifrado, consulta también Fundamentos del cifrado y protección de contraseñas.

Precauciones al introducir contraseñas

En un entorno de Wi-Fi público, la mejor medida es evitar introducir contraseñas siempre que sea posible. Sin embargo, si debes iniciar sesión, ten en cuenta los siguientes puntos.

• Activa tu VPN antes de iniciar sesión
• Verifica que el sitio esté protegido por HTTPS
• Comprueba que nadie esté mirando tu pantalla (prevención de shoulder surfing)
• Evita iniciar sesión en servicios financieros o cuentas de correo electrónico
• Cierra sesión siempre después de usarlo
• Desconéctate del Wi-Fi después de usarlo

Lista de verificación de seguridad antes de usar Wi-Fi público

Antes de conectarte a Wi-Fi público fuera de casa, verifica los siguientes puntos. Si alguna respuesta es "no", recomendamos omitir la conexión o tomar contramedidas antes de usarlo.

• ¿Tienes una app VPN instalada con una suscripción activa?
• ¿Está activado el firewall del sistema operativo?
• ¿Está desactivada la conexión automática Wi-Fi?
• ¿Está activado el "Modo solo HTTPS" del navegador? (configurable en Firefox y Chrome)
• ¿Coincide el SSID con la información oficial del establecimiento? (confirma con el personal)
• ¿Está desactivado el uso compartido de archivos (AirDrop, Nearby Share)?
• ¿Están guardadas las credenciales necesarias en tu gestor de contraseñas? (para evitar la entrada manual)

Prepara contraseñas con antelación usando passtsuku.com

Para minimizar los riesgos en entornos de Wi-Fi público, es importante completar los cambios de contraseña y nuevos registros en una red segura con antelación. Con passtsuku.com, puedes generar las contraseñas que necesitas de antemano en tu Wi-Fi seguro de casa u oficina.

Antes de viajar o ir en viaje de negocios, actualiza las contraseñas de los servicios que planeas usar con passtsuku.com. Genera contraseñas de al menos 16 caracteres usando los cuatro tipos de caracteres - mayúsculas, minúsculas, números y símbolos - y guárdalas en tu gestor de contraseñas para reducir la necesidad de introducir contraseñas manualmente mientras estás fuera.

Usando la función de generación masiva de passtsuku.com, puedes preparar contraseñas para múltiples servicios a la vez. Como el proceso de generación se completa enteramente dentro del navegador, las contraseñas nunca se transmiten por la red. Prepárate con antelación en un entorno seguro y estate listo para los riesgos del Wi-Fi público.

Lo que puedes hacer ahora mismo

1. Contrata un servicio VPN confiable (política de no registros, auditado por terceros) e instala la app en tu smartphone y PC
2. Desactiva la conexión automática Wi-Fi en tu smartphone y PC, y cambia la configuración para seleccionar conexiones manualmente
3. Activa el "Modo solo HTTPS" en tu navegador (Firefox: Ajustes → Privacidad y seguridad, Chrome: chrome://settings/security)
4. Actualiza las contraseñas de los servicios principales a más de 16 caracteres usando passtsuku.com y guárdalas en tu gestor de contraseñas (para evitar la entrada manual fuera de casa)
5. Verifica que el firewall del sistema operativo esté activado y desactiva el uso compartido de archivos (AirDrop, Nearby Share)

Preguntas frecuentes

¿Es seguro acceder a sitios HTTPS en Wi-Fi público?

HTTPS cifra tu tráfico, pero no puede prevenir la suplantación de DNS ni el phishing a través de portales cautivos falsos. No confíes solo en HTTPS: usa una VPN y verifica el nombre de la red antes de conectarte.

¿Una VPN gratuita hace seguro el Wi-Fi público?

Algunas VPN gratuitas recopilan y venden datos de usuarios, lo que puede aumentar el riesgo. Elige un servicio VPN de pago confiable o usa la VPN corporativa proporcionada por tu empleador.

¿Qué nunca debes hacer en el Wi-Fi de una cafetería o aeropuerto?

Evita la banca en línea o ingresar información de tarjetas de crédito. Además, conectarte con el uso compartido de archivos habilitado puede exponer tus archivos a otros en la misma red.