Lo que HTTPS protege realmente
Desde 2018, HTTPS se ha convertido en el estándar absoluto de la web. Gracias a la iniciativa Let's Encrypt y a las políticas de los navegadores (Chrome y Firefox marcan los sitios HTTP como 'no seguros'), más del 95 % del tráfico web mundial está cifrado mediante TLS.
Este cifrado protege el contenido de tus intercambios de extremo a extremo: tus contraseñas, los datos de tu tarjeta bancaria, tus mensajes y tus archivos. Quien intercepte tu tráfico wifi solo verá ruido criptográfico: no puede leer lo que envías o recibes.
Por tanto, la wifi pública en 2026 es fundamentalmente menos peligrosa que en 2015 en lo que respecta a la interceptación directa de datos. La mayoría de los consejos alarmistas que lees son herencia de una época en la que HTTP aún era omnipresente.
Lo que no protege
HTTPS no oculta los metadatos. En una red que no controlas, un observador puede ver a qué dominio te conectas (no la URL exacta, pero sí el dominio, gracias al SNI visible en texto plano durante el saludo TLS), a qué hora, durante cuánto tiempo y qué cantidad de datos se intercambian. Estos metadatos son reveladores.
Un atacante en la misma red también puede realizar DNS spoofing si tu dispositivo no usa DNS over HTTPS, sustituyendo las respuestas DNS legítimas por direcciones que apuntan a sus propios servidores. Puede crear un punto de acceso falso con exactamente el mismo nombre que la wifi legítima (ataque Evil Twin) para interceptar tus conexiones antes de que lleguen a internet. También puede intentar un SSL stripping en los pocos sitios que no tienen HSTS activado.
Los riesgos reales en 2026
En la práctica, los riesgos residuales en una wifi pública en 2026 son los siguientes:
- →Evil Twin: una red wifi pirata con exactamente el mismo nombre que la legítima, una técnica especialmente frecuente en aeropuertos y grandes estaciones. Te conectas a lo que parece la red correcta, pero tu tráfico pasa por un equipo controlado por un atacante.
- →DNS spoofing si tu dispositivo no fuerza DNS over HTTPS: tus consultas DNS pueden desviarse hacia servidores maliciosos.
- →Apps que todavía usan HTTP en texto plano para algunas funciones (autenticación, sincronización); son raras en 2026, pero existen.
- →Secuestro de sesión (session hijacking) en sitios sin cookies Secure y SameSite bien configuradas.
Recomendaciones prácticas
En una red wifi pública, activar tu VPN antes de cualquier conexión sigue siendo la mejor práctica. La VPN elimina el ataque Evil Twin (tu tráfico se cifra antes incluso de salir de tu dispositivo) y el DNS spoofing (tu VPN usa sus propios servidores DNS cifrados).
Desactiva la conexión automática a wifi en tu teléfono: es la función que te conecta automáticamente a cualquier red con un nombre que ya hayas usado. Es cómoda, pero la aprovechan los ataques Evil Twin.
Comprueba que los sitios sensibles (banco, correo, compras) muestran el candado de HTTPS en tu navegador antes de introducir nada. En iOS y Android, las apps serias fuerzan HTTPS de forma nativa.
La wifi pública es menos peligrosa que hace diez años, pero eso no es motivo para bajar la guardia. Los riesgos residuales —Evil Twin, DNS spoofing, apps mal configuradas— son reales y explotables. Con una VPN activada y DNS over HTTPS, estás protegido frente a la práctica totalidad de los ataques reales en una red no segura.
- Google, "HTTPS encryption on the web", Google Transparency Report (accessed 2026)
- Emily Schechter, "A milestone for Chrome security: marking HTTP as 'not secure'", Google Chrome Blog, 2018
- Cloudflare, "Encrypt it or lose it: how encrypted SNI works", Cloudflare Blog, 2018
- P. Hoffman & P. McManus, "RFC 8484: DNS Queries over HTTPS (DoH)", IETF, 2018
- M. Souppaya & K. Scarfone, "NIST SP 800-153: Guidelines for Securing Wireless Local Area Networks (WLANs)", NIST, 2012
Activa la VPN de Trasimène