Wi-Fi público en 2026: qué es realmente peligroso
Security & Privacy

Wi-Fi público en 2026: qué es realmente peligroso

La mayoría de las advertencias clásicas sobre el Wi-Fi público ya estaban desfasadas hace diez años. Qué protege HTTPS de verdad, qué se le escapa y dónde están hoy los riesgos reales en aeropuertos y cafeterías.

BROWSER.LOL
12.02.2026
20 min de lectura
Compartir

«Nunca metas el número de la tarjeta en el Wi-Fi de una cafetería». La frase tiene diez años y sigue colándose en todas las guías de viaje. Detrás está la imagen del hacker con el portátil en la mesa de al lado interceptando tu tráfico bancario. En 2011 era plausible. En 2026 es ya casi imposible. El verdadero adversario del Wi-Fi público hoy es otro, y normalmente no anda mirando tu dispositivo, sino esperando a que seas tú quien acabe escribiendo algo en el formulario equivocado.

Vale la pena separar el mito del riesgo real. La mayoría de las advertencias se centran en un problema que HTTPS y la seguridad moderna de las plataformas ya tienen más que resuelto. Otros riesgos, como los captive portals, las redes evil twin o los gusanos que escanean dispositivos, siguen ahí, ya estés en una puerta de embarque o en casa.

Lo que HTTPS ya hace por ti

Más del 95 por ciento del tráfico web va hoy por HTTPS. Es decir, entre tu navegador y el servidor hay un túnel cifrado que un tercero del mismo Wi-Fi no puede leer. Tus contraseñas, los datos de la tarjeta, los chats y los correos no son más que una sopa binaria ilegible para el hacker de la mesa de al lado.

Los navegadores modernos añaden todavía otra capa encima. Chrome y Firefox avisan cuando un campo de inicio de sesión no está cifrado. HSTS (Strict Transport Security) obliga a los sitios de confianza a abrirse solo por HTTPS, para que un atacante no pueda hacerte caer a HTTP. DNS-over-HTTPS cifra incluso la consulta que dice qué sitio estás abriendo.

Con esto, el clásico «man in the middle en la cafetería» deja de funcionar en casi cualquier sitio razonable. Lo que tienes que evitar es saltarte a la fuerza los avisos de certificado. Pulsar «Continuar de todos modos» se lleva por delante todas estas protecciones de un solo clic.

Los riesgos reales en el Wi-Fi público

Un icono de señal Wi-Fi con tres flechas que se bifurcan hacia tres iconos de riesgo: una página de login falsa, un captive portal y un escaneo de dispositivo

Phishing de captive portal. Los aeropuertos, hoteles y estaciones te enseñan una página de acceso en la que aceptas las condiciones del Wi-Fi. Un atacante clona esa misma página y, ya puestos, te pide el correo o incluso el acceso de una reserva de hotel. No es un ataque técnico, es ingeniería social, y funciona de maravilla porque a nadie se le ocurre mirar la URL de un popup de Wi-Fi.

Ataques a puertos abiertos. Si tu portátil o tu móvil tienen servicios expuestos (carpetas compartidas, impresoras, SSH), los demás dispositivos del mismo Wi-Fi los ven. La mayoría de los sistemas operativos pasan el Wi-Fi público a «perfil público» y bloquean estos servicios, pero desactivar esa opción (u olvidarse de volver a activarla) es prácticamente invitar al vecino a escanearte.

DNS hijacking en routers baratos. No todos los routers de cafetería están bien configurados. Algunos redirigen las consultas DNS a servicios de filtrado publicitario o, peor aún, a servidores DNS manipulados. Sin DNS-over-HTTPS, tu dispositivo puede terminar resolviendo ciertos dominios a una IP que no es la correcta.

Inicios de sesión capturados en sitios HTTP. Hoy es algo residual, pero ciertas aplicaciones internas de empresa, interfaces web de routers y servicios IoT baratos aún funcionan sin cifrar. Si entras en uno de ellos desde una red pública, mejor saber a qué te expones.

Los evil twins, y cuándo funcionan de verdad

Un evil twin es un punto de acceso Wi-Fi que se hace pasar por uno legítimo (muchas veces con el mismo nombre o uno parecido, tipo «Starbucks_Free») y emite una señal más potente para que tu dispositivo se conecte solo. El atacante ve entonces todo lo que envía tu dispositivo, que mientras HTTPS aguante no es gran cosa.

La variante peligrosa aparece cuando el evil twin viene acompañado de un captive portal que te pide instalar un certificado, o que te redirige a una página de inicio de sesión clonada de un servicio conocido. En cuanto instalas a mano un certificado proporcionado por un atacante, tu modelo de seguridad TLS se viene abajo. A esas peticiones les dices que no, sin excepciones.

El segundo caso peligroso son las apps que no validan bien los certificados (sin pinning, con cadenas de confianza del sistema demasiado laxas). Las apps mainstream están bastante limpias hoy en día, pero las más antiguas y el software a medida del entorno corporativo a menudo no lo están.

Dónde ayuda una VPN y dónde no

Un laptop con un túnel a trazos que sale del símbolo Wi-Fi y llega a un icono de servidor

Una VPN traslada el control de tu conexión del router de la cafetería a otro proveedor. Es útil cuando no te fías de la red local o quieres saltarte restricciones geográficas. No sustituye a HTTPS ni detiene el phishing de captive portal, porque la página de phishing está por delante del túnel VPN.

Una sesión de navegador aislada complementa lo anterior cuando vas a abrir sitios en los que no confías, o cuando tienes que iniciar sesión y temes acabar en un captive portal trampa. El navegador no corre en tu dispositivo, corre en la nube y solo te devuelve la imagen. Un certificado falso en una red evil twin impacta contra el navegador de la nube, no contra ti. Para la comparación completa, échale un ojo a Virtual Browsers vs VPNs.

Reglas prácticas que sí importan

En vez de la lista de miedos de siempre, esta es la versión corta que sí funciona en 2026.

  1. 1

    Deja el Wi-Fi público marcado como «público»

    Sin carpetas compartidas y sin servicios a la escucha. Cuando el sistema operativo pregunte, contestas «público».
  2. 2

    No te saltes nunca un aviso de certificado

    Si el navegador te dice que la conexión no es privada, te das la vuelta. Ninguna red pública merece un «Continuar de todos modos» a la ligera.
  3. 3

    No instales nunca un certificado de Wi-Fi

    Las cafeterías y aeropuertos legítimos no piden eso. Si un portal insiste en instalar una CA, es un atacante.
  4. 4

    VPN para la comodidad, navegador aislado para los inicios de sesión sensibles

    La VPN te sube el nivel base frente a redes curiosas. Para los inicios de sesión sensibles añades un navegador aislado que desaparece en cuanto cierras la pestaña.

Llévate un escritorio entero a cualquier dispositivo

Prueba Browser.lol gratis y trabaja como en un PC desde el móvil.

Abrir mi navegador en la nube

Sin descargas • Funciona en cualquier dispositivo

Más de 250 000 profesionales lo usan
Escritorio completo
Listo al momento

Últimos artículos

Todos los artículos
Canvas, WebGL y Audio: los tres fingerprints que sobreviven a cada reinicio del navegador
Seguridad y privacidad

Canvas, WebGL y Audio: los tres fingerprints que sobreviven a cada reinicio del navegador

Borrar cookies no les hace nada. Cómo se generan los hashes de canvas, las cadenas renderer de WebGL y las firmas de AudioContext, y por qué incluso Tor filtra uno.

17.05.2026Leer más
Tabnabbing y clickjacking: los ataques de interfaz que nunca ves
Seguridad y privacidad

Tabnabbing y clickjacking: los ataques de interfaz que nunca ves

Algunos ataques del navegador no necesitan malware. Reescriben tus pestañas mientras no las miras o esconden un botón debajo de uno falso, y eres tú quien entrega las credenciales o las aprobaciones. Así funcionan estos trucos de UI.

19.03.2026Leer más
Wallet drainers Web3: cómo una sola firma vacía tu cripto
Seguridad y privacidad

Wallet drainers Web3: cómo una sola firma vacía tu cripto

Los wallet drainers no necesitan tu seed phrase. Te hacen firmar una transacción que entrega todo en un clic. Así funciona la estafa y así puedes firmar sin acabar limpio.

05.03.2026Leer más