Estás en la puerta de embarque con dos horas por delante, ves una red “Airport_Free_WiFi” y te asalta la duda de siempre: ¿me conecto o me van a robar hasta el DNI? Es una de las preguntas más repetidas del mundo de la tecnología, y también una de las peor respondidas, porque la industria de las VPN lleva años vendiéndonos que conectarse a una red pública es prácticamente un suicidio digital. Spoiler: no es para tanto… pero tampoco es del todo inofensivo.
La respuesta corta es que el WiFi público es hoy mucho más seguro de lo que te han contado, gracias sobre todo a que casi toda la web viaja cifrada. Pero eso no significa que puedas bajar la guardia: los riesgos no han desaparecido, han cambiado. Ya casi nadie te va a “espiar la contraseña por el aire”; lo que sí puede pasar es que te conectes a una red falsa montada por un atacante o que caigas en una pantalla de login fraudulenta.

En este artículo vamos a hacer un análisis riguroso y sin humo: qué ve realmente alguien que esté en la misma red, por qué el peligro clásico es hoy casi un mito, cuáles son las amenazas que sí siguen siendo reales, si de verdad necesitas una VPN (y qué te protege y qué no), y una guía práctica para conectarte con tranquilidad. Vamos a separar el miedo del riesgo real.
Qué es una red abierta y qué ve quien está cerca
Para entender el riesgo real, primero hay que distinguir dos capas de cifrado que a menudo se confunden: la de la red WiFi y la de la web que visitas. Son cosas distintas.
Red “abierta” frente a red con contraseña
Una red abierta es la que no te pide contraseña para conectarte (la típica de aeropuertos y cafeterías). El problema histórico es que, en una red abierta clásica, los datos viajan sin cifrar entre tu dispositivo y el router: cualquiera con el equipo adecuado y a tu alcance podría “escuchar” las ondas y capturar ese tráfico. A esto se le llama sniffing.
En cambio, una red con contraseña (WPA2 o WPA3) cifra ese tramo, de modo que aunque alguien capture las ondas, solo vería ruido. Ojo: que una red pida contraseña no la hace de fiar —si la contraseña está pegada en la pared de la cafetería, la tiene todo el mundo—, pero al menos cifra el enlace.
La otra capa: HTTPS
Aquí está la clave que lo cambia todo. Aunque el tramo WiFi no estuviera cifrado, casi todo lo que haces en internet va cifrado de extremo a extremo por encima, gracias a HTTPS (el candado del navegador). Cuando entras en tu banco, tu correo o cualquier web con https://, el contenido viaja cifrado entre tu dispositivo y el servidor, y la red WiFi por la que pasa no puede leerlo, tenga o no contraseña.
Es decir: hay dos candados. El de la red (WPA/OWE) y el de la web (HTTPS). Y como veremos, el segundo es el que de verdad protege tus datos importantes.
Por qué hoy es mucho más seguro que hace 10 años
El miedo al WiFi público nació en una época muy concreta —hacia 2010— y tenía todo el sentido entonces. En aquellos años, la mayoría de las webs usaban http:// sin cifrar. Herramientas como Firesheep (2010) permitían a cualquiera, con un par de clics, “robar la sesión” de Facebook o del correo de quien estuviera en la misma cafetería. Era el salvaje oeste, y de ahí viene la fama.
Pero desde entonces han pasado tres cosas que lo han cambiado casi todo:
- HTTPS se ha vuelto universal. Hoy más del 95 % del tráfico web va cifrado con HTTPS, y los navegadores marcan como “no seguras” las pocas webs que aún usan HTTP. El escenario de “te espío la contraseña del banco por el aire” ya no es realista: quien esté a tu lado no puede leer tu Gmail ni ver tu saldo por el simple hecho de compartir red.
- El cifrado ha mejorado (TLS 1.3, HSTS). No solo se cifra más, se cifra mejor. Y mecanismos como HSTS obligan al navegador a usar siempre la versión segura de una web, cerrando trucos antiguos como el sslstrip (forzar una conexión a bajar a HTTP).
- Las apps y el sistema también cifran. Tu móvil no es un navegador: las apps del banco, de mensajería o del correo usan sus propios canales cifrados, muchas con medidas extra como el certificate pinning.
La conclusión de la comunidad de seguridad es clara: el WiFi público es bastante más seguro de lo que sugería el relato del “mil peligros”. Pero —y es un “pero” importante— los riesgos no han desaparecido, se han desplazado: ya no atacan tu tráfico cifrado, sino la infraestructura de red y tu comportamiento. Vamos con ellos.
Los riesgos que sí son reales en 2026
Que el peligro clásico esté superado no significa que no haya ninguno. Estos son los riesgos que de verdad debes tener en el radar, ordenados de más a menos preocupante:
| Riesgo | ¿Sigue siendo real? | Qué te protege |
| Que espíen tu contraseña por el aire (sniffing) | Casi nulo | HTTPS/TLS cifra el contenido; OWE cifra incluso las redes abiertas |
| Red gemela o punto de acceso falso (evil twin) | Sí, el más real | Verificar la red real; una VPN; no dar datos en portales dudosos |
| Portal cautivo falso (phishing) | Sí | Desconfiar de logins que piden de más; 2FA y passkeys |
| Fuga de metadatos y consultas DNS | Sí (privacidad) | DNS cifrado (DoH) y, opcionalmente, una VPN |
| Tráfico sin cifrar o degradación (sslstrip) | Bajo | HSTS y los avisos del navegador: no los ignores |
| Tu propio equipo (compartición activada o sin actualizar) | Sí | Actualizar el sistema; perfil de red pública; desactivar la compartición |
1. La red gemela (evil twin): el riesgo número uno
Es, con diferencia, la amenaza más realista hoy. Un atacante monta su propio punto de acceso con un nombre idéntico o casi idéntico al legítimo (“AeropuertoWiFi”, “Free_Airport_WiFi”) y con una señal más potente. Tú te conectas creyendo que es la red oficial y, a partir de ese momento, todo tu tráfico pasa por su equipo. No es teoría: en abril de 2024, un hombre fue detenido en Australia por montar redes gemelas en los aeropuertos de Perth, Melbourne y Adelaida para robar credenciales de correo y redes sociales de los viajeros.
Lo peligroso del evil twin es que, al controlar la red, el atacante puede intentar redirigirte a páginas falsas o capturar el poco tráfico que no vaya bien cifrado.
2. El portal cautivo falso (phishing)
El portal cautivo es esa pantalla de “acepta las condiciones para conectarte” típica de aeropuertos y hoteles. Un atacante puede clonarla y pedirte que “inicies sesión” con tu correo, tu cuenta de Google o incluso los datos de la tarjeta “para verificar”. Es phishing puro. Y funciona: los estudios muestran que entre el 30 % y el 60 % de la gente introduce sus credenciales ante una pantalla de login convincente. Regla de oro: un WiFi legítimo jamás te pide tu contraseña de Google ni los datos de la tarjeta para dejarte navegar.
3. La fuga de metadatos y DNS
HTTPS cifra el contenido de lo que haces, pero no siempre oculta con quién hablas. Las consultas DNS (que traducen “mibanco.com” a una dirección IP) y otros metadatos pueden revelar qué webs visitas, aunque no lo que haces en ellas. No es un robo de contraseñas, pero sí un problema de privacidad: la red puede saber que has entrado en tu banco o en una web médica.
4. El tráfico sin cifrar y la degradación
Queda un pequeño porcentaje de webs y apps mal configuradas que aún envían datos sin cifrar, y ahí sí hay riesgo. También existen ataques que intentan forzar tu conexión a bajar a HTTP (sslstrip). La buena noticia es que HSTS y los navegadores modernos lo bloquean casi siempre… salvo que ignores un aviso de seguridad, cosa que nunca deberías hacer.
5. Tu propio dispositivo
A veces el problema no es la red, eres tú. Un equipo con la compartición de archivos activada, sin actualizar o con el firewall desactivado es vulnerable esté donde esté. En una red pública, un equipo mal configurado puede exponer carpetas compartidas a desconocidos.
¿Y las historias de cuentas 'hackeadas' en el aeropuerto?
Seguro que has leído algún titular del estilo “le robaron el Gmail por conectarse al WiFi del aeropuerto”. ¿Es posible? Sí, pero casi nunca como la gente imagina. Como ya hemos visto, nadie te “lee” la contraseña por el aire: HTTPS lo impide. Cuando una cuenta cae de verdad, es por un tipo de ataque distinto, y todos tienen algo en común: necesitan que tú hagas algo (conectarte a la red falsa y teclear tus datos, o instalar algo). Estas son las tres vías reales:
- La página de login falsa (phishing). El evil twin o el portal cautivo te redirige a una copia clavada de la pantalla de Google. Tecleas tu correo y contraseña y quedan capturados. Si no tienes verificación en dos pasos, el atacante ya puede entrar. Es exactamente lo que hacía el hombre detenido en los aeropuertos de Australia: redirigir a los viajeros a páginas de acceso falsas.
- El “adversario en medio” (AiTM), la versión moderna y peligrosa. Con herramientas como evilginx, el atacante monta un proxy en tiempo real: te muestra el Google auténtico, tú te logueas y pasas el 2FA de verdad… pero por el camino él roba la cookie de sesión ya validada. Con esa cookie entra como tú saltándose el segundo factor por completo. Gmail, Outlook y Yahoo son los objetivos favoritos de estas herramientas.
- El malware disfrazado de “instala esto para continuar”. El portal falso te empuja a instalar una “actualización”, un “certificado” o una app para navegar. Lo que instalas es un infostealer que roba las contraseñas y cookies guardadas en tu navegador.
Ojo con las historias mal atribuidas
Un aviso importante para no caer en el pánico: muchos relatos de “me hackearon en el WiFi del aeropuerto” están mal atribuidos. Con frecuencia, el hackeo vino en realidad de un phishing por correo, de reutilizar la misma contraseña (filtrada en la brecha de otra web) o de un malware pillado en otro momento, y se le echa la culpa al WiFi porque es el relato más memorable y da más miedo. Demostrar que el WiFi fue realmente el punto de entrada es difícil, y en la mayoría de casos no lo fue. La conclusión no cambia: el ataque necesita que piques, y con la red verificada y una passkey, se cae.
¿Necesito una VPN? Qué protege de verdad y qué no
Aquí está la pregunta del millón, y donde más ruido de marketing hay. La afirmación estrella de muchos anuncios —“sin VPN, en un WiFi público no hay cifrado y cualquiera ve tus datos”— es, sencillamente, falsa: como ya hemos visto, HTTPS cifra el contenido de casi todo lo que haces, con VPN o sin ella.
Dicho esto, una VPN sí tiene valor, solo que no el que te venden. Lo que hace una VPN es crear un túnel cifrado entre tu dispositivo y un servidor del proveedor: la red local (y por tanto un evil twin) deja de ver a dónde te conectas y qué envías. Esto es lo que hace y lo que no:
| Qué SÍ hace una VPN | Qué NO hace una VPN |
| Cifra todo tu tráfico frente a la red local | No te protege del malware que descargues |
| Oculta a dónde te conectas (DNS y destinos) | No evita el phishing ni que tú teclees tus datos |
| Protege el poco tráfico que aún viaja sin cifrar | No hace segura una web mal configurada |
| Traslada la confianza de la red al proveedor de VPN | No te vuelve anónimo ni invisible |
La visión honesta
Incluso expertos en seguridad muy críticos con el marketing de las VPN, como Troy Hunt (el creador de Have I Been Pwned), reconocen que tienen un valor real pero acotado: protegen ese pequeño porcentaje de tráfico mal cifrado, ocultan tu actividad a la red local (útil frente a un evil twin o simplemente por privacidad) y cifran tus consultas DNS. Su gran pega es que trasladas tu confianza: dejas de fiarte del WiFi del aeropuerto para fiarte del proveedor de la VPN, que ahora ve todo tu tráfico. Por eso, si usas una, que sea de pago y de reputación intachable (las VPN “gratis” suelen vivir de vender tus datos).
Guía práctica: cómo conectarte con seguridad
Con todo lo anterior, esto es lo que de verdad marca la diferencia. Si sigues estos hábitos, puedes usar el WiFi de cualquier aeropuerto con tranquilidad:
- Verifica el nombre exacto de la red. Es el consejo más importante frente al evil twin. Pregunta al personal cuál es la red oficial y desconfía de nombres duplicados o con faltas. Si hay dos redes casi iguales, sospecha.
- Nunca ignores un aviso de certificado. Si el navegador te dice “la conexión no es privada” o “certificado no válido”, para. Ese aviso es justo la defensa que te avisa de que algo va mal.
- Desconfía de los portales que piden de más. Aceptar unas condiciones, vale. Pedirte tu contraseña de Google, tu correo o la tarjeta: nunca. Ciérralo.
- Usa siempre 2FA y passkeys. Aunque alguien te robara una contraseña, con verificación en dos pasos no podría entrar. Es tu mejor red de seguridad. Apóyate en un gestor de contraseñas, que además detecta webs falsas.
- Mantén el dispositivo actualizado y desactiva la compartición de archivos e impresoras cuando estés fuera de casa. En Windows, elige el perfil de “red pública” al conectarte.
- Desactiva la conexión automática a redes abiertas. Así tu móvil no se engancha solo a la primera red con un nombre conocido (una táctica que aprovechan los atacantes).
- Activa el DNS cifrado (DoH) en el navegador o el sistema: reduce la fuga de metadatos sobre las webs que visitas. Usa un navegador seguro y actualizado.
- Para lo realmente crítico, tira de datos móviles. Si vas a hacer una gestión bancaria importante y no las tienes todas contigo, comparte los datos de tu móvil (tethering) en lugar del WiFi público. Es la opción más segura y sencilla.
- Cierra sesión y “olvida la red” al terminar, para que tu dispositivo no vuelva a conectarse solo la próxima vez.
Preguntas frecuentes
Entonces, ¿es seguro o no el WiFi del aeropuerto?
Para un uso normal, sí, siempre que sigas unos hábitos básicos: verifica que es la red oficial, no ignores los avisos de seguridad del navegador y protege tus cuentas con verificación en dos pasos. El peligro clásico de “te roban la contraseña por el aire” es hoy casi un mito gracias a HTTPS.
¿Puedo entrar en mi banco desde un WiFi público?
Sí. Las apps y webs bancarias usan cifrado fuerte de extremo a extremo, así que la red no puede ver tus datos. El riesgo no es el cifrado, sino conectarte a una red falsa o caer en una web de phishing; con 2FA activado y verificando la red, es seguro. Si vas a hacer una operación importante y dudas de la red, usa los datos móviles.
¿Necesito de verdad una VPN?
No es imprescindible. HTTPS ya cifra el contenido de tu tráfico. Una VPN es una capa extra útil para privacidad y para redes poco fiables, pero no te protege del malware ni del phishing. Protegen más tus cuentas el 2FA y las passkeys.
¿Qué es una “red gemela” o evil twin?
Es una red WiFi falsa que un atacante monta con el mismo nombre que la legítima para que te conectes a la suya y así interceptar tu tráfico. Es hoy el riesgo más real del WiFi público. Por eso conviene confirmar con el personal cuál es la red oficial.
¿Es más peligrosa una red abierta (sin contraseña)?
En teoría sí, porque el tramo entre tu equipo y el router puede ir sin cifrar. Pero HTTPS protege igualmente el contenido importante, y cada vez más redes abiertas usan el cifrado OWE, que las protege sin necesidad de contraseña. Lo que de verdad importa no es si pide contraseña, sino que sea la red auténtica.
¿Sirve de algo el candado del navegador?
Muchísimo. Ese candado (HTTPS) indica que la conexión con esa web va cifrada y la red no puede leerla. Si en su lugar ves un aviso de “conexión no segura” o de certificado inválido, no continúes: es la señal de que algo va mal.











