Cómo detectar redes WiFi falsas y proteger tu conexión

Conectarse a cualquier WiFi que vemos cerca se ha convertido en un gesto casi automático: llegamos a un aeropuerto, un centro comercial o la casa de un amigo y lo primero que hacemos es buscar redes disponibles. Pero ese gesto tan inocente puede salir caro si acabamos enganchados a una red falsa preparada por ciberdelincuentes para espiarnos, robarnos datos o incluso secuestrar nuestros dispositivos.

La realidad es que no todas las redes inalámbricas son de fiar, ni siquiera las que parecen gratuitas y “oficiales”. Igual que cerramos la puerta de casa con llave, bajamos persianas y ponemos alarma antes de irnos de vacaciones, deberíamos tomarnos en serio la protección de nuestra conexión WiFi y aprender a detectar redes peligrosas, saber si tenemos intrusos en casa y cómo blindar el router para evitar disgustos.

Riesgos de conectarse a redes WiFi públicas y falsas

Las redes WiFi públicas y abiertas son muy cómodas cuando nos quedamos sin datos o queremos ahorrar en la tarifa móvil, pero a nivel de seguridad son un campo de minas. En muchos sitios (aeropuertos, estaciones, locales de comida rápida, hoteles…) cualquiera puede montar un punto de acceso con un nombre llamativo para atraer víctimas.

Los atacantes suelen desplegar sus redes trampa en lugares muy concurridos, donde es fácil que alguien pique: centros comerciales, aeropuertos, bibliotecas, universidades, restaurantes, etc. Juegan con la prisa y la confianza: si ves “WiFi_Aeropuerto_Gratis” o “CentroComercial_Free”, lo normal es que des por hecho que es la red oficial y te conectes sin pensarlo demasiado.

El problema de fondo es que al conectarte a una red manipulada el ciberdelincuente controla todo el tráfico que pasa entre tu dispositivo e Internet. Eso le permite ver qué webs visitas, qué información envías, interceptar contraseñas, modificar las páginas que ves o incluso inyectar malware en tu móvil u ordenador mientras navegas tan tranquilo.

En redes públicas sin cifrado o con cifrado débil, tu dispositivo se vuelve visible para otros usuarios conectados al mismo punto de acceso. En la práctica, estás “sentado en abierto” frente a desconocidos que pueden intentar explorar tu equipo, escanear puertos o aprovechar vulnerabilidades del sistema para entrar sin que te des cuenta.

Además de las redes abiertamente maliciosas, hay muchos puntos de acceso mal configurados o con claves ridículas (tipo 12345678 o el nombre por defecto del router) que facilitan el hackeo por fuerza bruta. Una vez alguien entra en esa red, puede espiar al resto de usuarios conectados aunque el dueño del local ni siquiera sea consciente del problema.

Cómo saber si tienes intrusos en tu WiFi de casa

En el entorno doméstico, la primera señal de alarma suele ser muy sencilla: Internet va fatal. Si de repente tu conexión se vuelve inusualmente lenta, las páginas tardan siglos en cargar, las series se paran cada dos por tres y la música se corta, puede que tengas algo más que un fallo puntual del operador.

Una forma casera de comprobarlo es usar las luces del router. Desconecta de la WiFi todos tus dispositivos: móviles, ordenadores, tablets, televisores inteligentes, videoconsolas, impresoras, etc. Cuando estés seguro de que ninguno está usando la red, fíjate en el piloto que suele marcar “WLAN” o el icono de WiFi. Si sigue parpadeando con actividad, puede ser que alguien ajeno siga usando tu red.

Para tener una visión precisa, lo ideal es entrar al panel del router. Desde un navegador web, introduce la dirección IP del router (las más comunes son 192.168.1.1 o 192.168.0.1). Es importante teclearla bien, porque algunos ciberdelincuentes registran dominios similares para engañar al usuario y llevarlo a páginas falsas si sustituye, por ejemplo, un número 1 por una letra I mayúscula.

Una vez dentro de la configuración del router, busca apartados con nombres tipo “Dispositivos conectados”, “LAN usuarios”, “Lista de dispositivos” o similar. Ahí verás un listado de aparatos conectados con su dirección IP, su dirección MAC y a veces hasta el nombre que el propio dispositivo envía (por ejemplo, el nombre de tu móvil).

La dirección MAC es una especie de DNI del dispositivo, una combinación única de letras y números con formato XX:XX:XX:XX:XX:XX. No puede haber dos dispositivos legítimos con la misma, así que es la referencia principal para identificar qué es cada cosa que aparece en la lista. En cambio, la IP interna (192.168.x.x) puede cambiar de un día para otro sin problema.

Si ves en el panel del router aparatos que no te suenan o direcciones MAC que no puedas asociar a ningún móvil, portátil, televisor o gadget de casa, es bastante probable que alguien del vecindario esté “tirando” de tu conexión sin permiso. Conviene anotar esas MAC sospechosas, porque serán las que luego tengas que bloquear.

Algunos routers y aplicaciones de escaneo permiten renombrar los dispositivos que reconoces (por ejemplo “Móvil Juan”, “Portátil trabajo”, “Smart TV salón”). Esto facilita que, cada vez que revises la lista, salte enseguida a la vista cualquier elemento nuevo o desconocido y no tengas que ir descifrando qué es cada MAC cada vez.

Apps y herramientas para analizar tu red y detectar dispositivos desconocidos

Además de mirar directamente en el router, puedes usar aplicaciones específicas que escanean tu red y te muestran todos los equipos conectados en ese momento. Son muy útiles cuando no controlas bien la interfaz del router o simplemente prefieres un sistema más visual desde el móvil.

Una de las apps más conocidas es FING – Escáner de red, disponible para Android e iOS. Tras descargarla e instalarla, solo tienes que abrirla y pulsar el icono de refrescar o escaneo para que empiece a analizar la red WiFi a la que estás conectado. Verás una barra de progreso y, en pocos segundos, un listado completo de dispositivos.

El resultado del escaneo suele mostrar el nombre del dispositivo (cuando puede identificarlo), la IP interna, la dirección MAC e incluso el fabricante de la tarjeta de red. Esto ayuda a saber si un aparato es, por ejemplo, un móvil Samsung, un portátil de cierto fabricante o una Smart TV de determinada marca.

Si no tienes claro cuál es cuál, puedes ir comprobando la dirección MAC de tus aparatos. En un móvil, por ejemplo, suele encontrarse en Ajustes > Información del teléfono > Estado o similar. En ordenadores, en la configuración de red. Incluso muchos routers traen la MAC impresa en una pegatina debajo del equipo.

La ventaja de apps tipo FING es que te permiten asignar nombres personalizados a los dispositivos reconocidos y mantener un histórico de eventos. De esta forma, cada vez que se conecte algo nuevo, la aplicación lo destacará como “dispositivo recién descubierto”, lo que hace mucho más fácil detectar intrusos que se conecten puntualmente a tu WiFi.

Cómo echar a intrusos de tu WiFi y proteger tu router

Si has confirmado que hay dispositivos ajenos conectados a tu red, el siguiente paso es expulsarlos y evitar que vuelvan a entrar. La mayoría de routers domésticos permiten crear una “lista negra” o filtro de MAC con el que bloquear aparatos concretos aunque sepan la contraseña.

Para usar el filtro de MAC, entra de nuevo en la configuración del router desde el navegador y busca opciones con nombres del estilo “Filtro MAC”, “Control de acceso” o “Lista negra de dispositivos”. Cada interfaz es distinta según el fabricante, pero casi todos los routers modernos incorporan algo parecido.

Basta con añadir al filtro las direcciones MAC sospechosas que has anotado antes y asegurarte de que la opción de bloqueo está activada. A partir de ese momento, el router rechazará cualquier intento de conexión procedente de esos dispositivos, aunque introduzcan la clave correcta de la WiFi.

Eso sí, bloquear por MAC no es una solución infalible. Un atacante con ciertos conocimientos puede falsificar (spoofear) la dirección MAC de su adaptador de red para hacerse pasar por uno de tus dispositivos legítimos y sortear el filtro. Por tanto, es una buena medida adicional, pero no sustituye a una contraseña fuerte.

Siempre que sospeches que han entrado en tu WiFi, es obligatorio cambiar la clave de la red lo antes posible. Hazlo desde el panel del router en el apartado de configuración inalámbrica. Antes de hacerlo, lo ideal es conectarse al router por cable de red (Ethernet) y desactivar temporalmente la WiFi, para asegurarte de que solo tú estás gestionando el cambio.

Al elegir la nueva contraseña, olvídate de cosas obvias como tu nombre, fecha de nacimiento, 12345678 o la típica clave por defecto del operador. Usa una contraseña larga, con letras mayúsculas y minúsculas, números y símbolos, que no tenga sentido en ningún idioma. Y, si el router lo permite, activa el cifrado WPA2 o, mejor aún, WPA3.

Otro ajuste importante es desactivar la función WPS (Wi-Fi Protected Setup). Esta opción, pensada para “facilitar” la conexión pulsando un botón o usando un PIN, es un coladero de seguridad en muchos modelos de router. Deshabilitando WPS cierras una puerta muy jugosa para ataques automatizados de fuerza bruta.

Señales de que tu router o tu red han sido hackeados

Más allá de la presencia de intrusos, hay síntomas claros de que alguien ha podido comprometer tu router. Conviene conocerlos para reaccionar a tiempo y limitar los daños si algo va mal.

Uno de los signos más repetidos es la bajada continua de velocidad sin una razón aparente. No hablamos de un pico puntual a la hora punta, sino de una conexión que va arrastrándose siempre, independientemente del dispositivo que uses o de la hora del día. Un router intervenido puede estar siendo usado para desviar tráfico o para actividades maliciosas que saturan el ancho de banda.

También debes prestar atención a la actividad inusual o a un consumo de datos muy alto cuando no lo justifican tus usos normales. En algunos paneles de router puedes ver estadísticas de tráfico; si se disparan sin explicación, es otro indicador de que algo no cuadra.

Las redirecciones extrañas en el navegador son un síntoma muy serio. Si al intentar entrar en tu banco o en una web de confianza acabas en páginas raras, llenas de anuncios o con formularios sospechosos, puede que alguien haya tocado la configuración de DNS de tu router para mandar todo el tráfico a servidores controlados por el atacante.

Otro aviso preocupante son las descargas de programas o apps que no recuerdas haber instalado. Los ciberdelincuentes aprovechan routers vulnerables para inyectar malware en los dispositivos conectados: troyanos, spyware, adware, etc. Si encuentras software desconocido, trátalo como una posible amenaza y elimínalo tras escanearlo con un buen antivirus.

En escenarios más graves puede darse un secuestro de sesión (session hijacking), en el que un atacante toma el control de una sesión abierta en tu navegador o incluso de tu equipo. Desde ahí podría acceder a tus aplicaciones, documentos y cuentas como si estuviera sentado en tu silla. Ante cualquier comportamiento raro (cursos que se mueven solos, cierres de sesión inesperados, cambios en configuraciones que tú no has hecho), desconecta el dispositivo de la red y reinícialo.

Mensajes de ransomware o correos chantajeando con supuestos datos robados también son una señal de que algo ha ido muy mal. El ransomware cifra tus archivos y exige un rescate para desbloquearlos. Nunca es recomendable pagar, porque no hay garantías de que recuperes la información y, de paso, alimentas el negocio delictivo.

Un último indicador habitual son las falsas alertas de antivirus, también llamadas scareware. Saltan ventanas avisando de que tu equipo está repleto de virus y te ofrecen descargar “la solución milagrosa”. En realidad, es precisamente ese falso antivirus el que viene cargado de malware. Si ves un bombardeo de estas notificaciones, sospecha de que tu navegación está siendo manipulada, a menudo desde la propia red.

Cómo funciona el hackeo por WiFi: técnicas habituales

Para comprometer redes WiFi, los ciberdelincuentes utilizan un buen repertorio de técnicas. Entenderlas por encima te ayuda a ser más consciente de dónde están los puntos débiles y qué comportamientos evitar.

Los ataques Man-in-the-Middle (hombre en el medio) son muy frecuentes en redes públicas. El atacante se coloca entre tu dispositivo e Internet, ya sea mediante un punto de acceso falso o manipulando el tráfico de una red vulnerable. Así puede leer y modificar todo lo que envías y recibes: desde simples búsquedas hasta datos bancarios.

Los ataques de fuerza bruta contra la contraseña del WiFi se basan en usar programas automatizados que prueban miles o millones de combinaciones, muchas de ellas basadas en contraseñas típicas, diccionarios o patrones predecibles. Si tu clave es débil o el cifrado es antiguo (como WEP), no tardarán mucho en encontrarla.

La captura o monitorización de paquetes es una técnica más pasiva en la que se interceptan los datos que circulan por una red inalámbrica sin necesidad de “tocar” mucho la configuración. Si la red no está bien cifrada, parte de esa información se puede leer en claro o usar para preparar ataques posteriores.

El phishing sigue siendo una de las puertas de entrada principales. Mediante correos, mensajes, webs o formularios falsos, los atacantes intentan que seas tú mismo quien entregue las contraseñas o descargue el malware. En el contexto del WiFi, es muy típico que una red falsa te redirija automáticamente a una página que imita a la de tu banco, de redes sociales o de un servicio popular.

Relacionado con esto están los ataques de gemelo malvado (evil twin). Consisten en crear un punto de acceso con el mismo nombre (SSID) que una red legítima que ya conoces. Tu móvil recuerda esa red y, si encuentra otra con el mismo nombre, puede conectarse automáticamente sin que te enteres de que, esta vez, el dueño es un ciberdelincuente.

Por último, los ataques de interferencia o jamming se centran en bloquear la red, inundando el espectro con ruido para que los dispositivos legítimos no puedan conectarse o se caigan continuamente. Aunque su objetivo principal es la denegación de servicio, a veces se combinan con otras técnicas para forzar que los usuarios se conecten a un punto de acceso falso alternativo.

Cómo detectar una red WiFi falsa antes de conectarte

La buena noticia es que hay varias pistas claras que pueden ayudarte a identificar redes WiFi peligrosas o directamente falsas antes de que pulses en “Conectar”. No son infalibles, pero si las tienes en mente reducirás mucho las posibilidades de caer en la trampa.

Lo primero que debes mirar es el nombre de la red (SSID). Desconfía de denominaciones genéricas tipo “Free_WiFi”, “WiFi Gratis”, “Internet_Gratis”, “Public_WiFi” y similares, sobre todo si no hay ningún cartel oficial cerca que las respalde. Muchas de estas redes solo buscan atraer curiosos para espiar su tráfico o bombardearles a publicidad.

Comprueba también si el nombre tiene sentido en el contexto. Si estás en un aeropuerto y ves varias redes con nombres muy parecidos a la oficial (por ejemplo “Aeropuerto_WiFi”, “Aerouerto_WiFi_Free”, “Aeropuerto_WiFi_Gratis”), sospecha. El truco de cambiar una letra o añadir un guion para imitar la red verdadera es muy común.

Otro aspecto clave es el tipo de cifrado que usa la red. Si aparece como totalmente abierta (sin candado) o con un cifrado antiguo tipo WEP, lo ideal es evitarla por completo. Las redes sin contraseña permiten que cualquiera se conecte, incluidos los atacantes, y WEP es tan débil que prácticamente equivale a no tener protección.

Siempre que puedas, prioriza redes que utilicen WPA2 o mejor WPA3. No garantiza que la red sea legítima, pero al menos te asegura un nivel de cifrado razonable y complica mucho el trabajo a quien intenta pinchar el tráfico de forma masiva.

Un truco útil para detectar redes gemelas consiste en introducir a propósito una contraseña equivocada. Si estás seguro de cuál es la clave de tu red habitual (por ejemplo, la de la cafetería a la que vas siempre) y, al poner una contraseña totalmente distinta, te deja entrar, mala señal. Probablemente se trata de una copia maliciosa que acepta cualquier clave para engancharte.

Una vez conectado, vigila el comportamiento de la navegación. Si la red empieza a redirigirte a páginas que no has pedido, a versiones HTTP de webs que normalmente cargan con HTTPS o a formularios de inicio de sesión extraños, es probable que esa WiFi esté manipulada. Fíjate siempre en el candado del navegador y en que la dirección sea exactamente la que tú has escrito.

Qué puede pasar si entras en un WiFi manipulado

Conectarte a una red controlada por un atacante no siempre implica que te vayan a arruinar la vida al momento, pero los riesgos son reales y van desde molestias leves hasta daños serios en tu privacidad y tus cuentas.

Uno de los peligros más habituales es la infección por malware. El responsable de la red puede redirigirte a webs plagadas de descargas maliciosas, forzar la instalación de apps sospechosas o aprovechar vulnerabilidades de tu navegador o sistema para colar virus sin que toques nada. Ese malware puede servir para espiarte, robar información, minar criptomonedas o integrar tu equipo en una red de bots.

Otro riesgo importantísimo son las redirecciones a sitios de phishing. Intentas entrar en tu banco, en el correo o en redes sociales, y la WiFi te lleva a una página que, a simple vista, parece idéntica a la original. Introduces usuario y contraseña con toda la confianza y, en realidad, se las estás regalando al ciberdelincuente, que podrá usarlas más tarde desde su propia conexión.

El spam y la publicidad agresiva son efectos más “blandos”, pero también molestos. Muchas redes poco fiables te derivan continuamente a webs llenas de banners, pop-ups y anuncios intrusivos, o recogen tu correo y tus datos de navegación para bombardearte después con mensajes no deseados por email, SMS e incluso redes sociales.

En otras ocasiones, el objetivo es recopilar directamente datos personales. Algunas WiFi públicas piden un registro previo con correo, número de teléfono, perfiles de redes sociales u otra información sensible. Si no tienes claro quién está detrás de esa red ni cómo van a tratar esos datos, mejor no entregar nada o, como mínimo, usar un correo secundario que no esté vinculado a tus servicios más importantes.

Incluso aunque solo usen tus datos para marketing, pierdes control sobre quién tiene tu información y para qué la utiliza. En el peor de los casos, podrían usarlos para suplantar tu identidad, abrir cuentas a tu nombre o dirigirte ataques personalizados mucho más creíbles.

Snappy: herramienta para detectar puntos de acceso WiFi falsos

Además de las pautas generales de sentido común, van surgiendo herramientas específicas pensadas para ayudarte a distinguir entre redes legítimas y puntos de acceso falsos diseñados para robar datos. Una de ellas es Snappy, desarrollada por un grupo de investigadores de seguridad.

Snappy está orientada a detectar puntos de acceso no autorizados en redes abiertas y, en particular, esos “gemelos malvados” que imitan el nombre de una WiFi que ya utilizaste antes. La idea es comparar las características del punto de acceso actual con las del que tenías guardado en el dispositivo.

Cuando un atacante crea una red con el mismo SSID que otra conocida, confía en que tu móvil o portátil se conecte automáticamente sin que te des cuenta. Sin embargo, aunque el nombre sea idéntico, hay otros parámetros que suelen cambiar: el canal, la potencia máxima de transmisión, el proveedor, el tipo de hardware, etc.

Lo que hace Snappy es analizar y contrastar esos parámetros técnicos. Si coinciden plenamente con el punto de acceso original, es muy probable que estés ante la misma red de siempre. Si, por el contrario, detecta diferencias significativas, te avisa de que puede tratarse de una red falsa preparada para un ataque de tipo Man-in-the-Middle.

Actualmente, Snappy se encuentra en fase de desarrollo y funciona mediante scripts de Python, por lo que su uso está más orientado a usuarios avanzados. En Android se puede ejecutar a través de herramientas como Pydroid, QPython o Termux, mientras que en iOS harían falta entornos como Pythonista, Carnets o Juno.

Los desarrolladores tienen la intención de crear en el futuro una aplicación más amigable y accesible para el usuario medio, pero de momento el código fuente está disponible en GitHub para quienes quieran probarla o revisarla. En cualquier caso, conviene recordar que, aunque Snappy detecte una red como “fiable”, siempre puede haber cierto margen de riesgo y sigue siendo imprescindible combinarla con buenas prácticas de seguridad.

Buenas prácticas para usar redes WiFi públicas con menos riesgo

Aunque lo más seguro es limitar al máximo el uso de WiFi públicas para cosas delicadas, es evidente que a veces no queda otra. Si tienes que conectarte, hay una serie de recomendaciones básicas que te ayudarán a reducir daños.

Antes de nada, verifica bien el nombre de la red y, si es posible, confirma con el personal del lugar cuál es la oficial. Fíjate si hay varias con nombres similares y elige solo la que te indiquen. Desconfía de las que tengan denominaciones genéricas o demasiado “jugosas” como “WiFi Super Rapido Gratis”.

Desactiva la conexión automática a redes WiFi en tu móvil y en tus dispositivos. Es mejor que seas tú quien decida manualmente a qué red conectarte cada vez. Y, cuando dejes de usar una WiFi pública, elimínala de la lista de redes guardadas para que el dispositivo no vuelva a engancharse por su cuenta en el futuro.

Usar una VPN de confianza es casi obligatorio si sueles conectarte a WiFi de hoteles, aeropuertos o cafeterías. La VPN cifra el tráfico desde tu dispositivo hasta el servidor de la propia VPN, de forma que, incluso si alguien controla la red local, verá los datos encapsulados y le resultará mucho más difícil espiar lo que haces.

Activa la autenticación en dos pasos (MFA) en tus servicios importantes: correo principal, redes sociales, banca online, almacenamiento en la nube, etc. Así, aunque un atacante consiga tu contraseña por un descuido o por un phishing, necesitará además el código temporal o la confirmación desde tu móvil para entrar.

Mientras uses una WiFi pública, evita tareas especialmente sensibles como entrar en la banca online, hacer compras con tarjeta, gestionar documentación confidencial o acceder a paneles de administración. Déjalas para cuando estés en una red fiable, idealmente bajo tu control.

Por último, no aceptes instalar aplicaciones o extensiones solo porque lo pida una ventana emergente al conectarte a cierta WiFi. Si tras acceder empiezas a ver pop-ups que te instan a bajar “certificados”, “actualizaciones” o “limpiadores”, cierra el navegador y sal de esa red cuanto antes.

La combinación de redes WiFi falsas, routers mal protegidos y malos hábitos de navegación crea un caldo de cultivo perfecto para los ciberdelincuentes. Aprender a reconocer señales de peligro, controlar qué dispositivos se conectan a tu router, expulsa a los intrusos, usar contraseñas robustas, desactivar funciones inseguras como WPS y apoyarte en herramientas como VPN, antivirus o incluso proyectos como Snappy marca la diferencia entre navegar relativamente seguro o dejar tu vida digital en bandeja a cualquiera que pase cerca con malas intenciones.