A salvo en el Wi-Fi del hotel — y conectado con tu casa

Si te quedas en tu propio país con tu tarifa móvil y no tocas Wi-Fi compartido ni cuentas sensibles, la VPN es menos crítica. Para casi cualquier viaje internacional con Wi-Fi o acceso remoto a cuentas propias, está en el mismo cajón de imprescindibles que el seguro de viaje y el adaptador de enchufe.

• Vas a iniciar sesión en algo desde el Wi-Fi del hotel, aeropuerto o café: Las redes abiertas y compartidas son la mayor razón por la que quien viaja necesita una VPN. Cualquier cosa que tecleas — contraseñas, sesiones bancarias, correos — puede ser interceptada por terceros en la misma red sin las precauciones correctas. Una VPN cifra cada byte antes de salir del dispositivo, lo que vuelve esas intercepciones ilegibles.
• Quieres que el banco, los pagos y las apps de casa sigan funcionando: Muchos bancos y proveedores de pago detectan una IP extranjera y bloquean la sesión por sospecha de fraude. Una VPN enruta tu conexión por un servidor en tu país para que el banco vea una dirección familiar y te deje pasar. Sin ella puede tocarte un saldo bloqueado, un pago con tarjeta rechazado o una verificación de doble factor que no avanza.
• Te importa tu biblioteca habitual de streaming, noticias o deportes: Las plataformas de streaming rotan su catálogo por región por motivos de licencia. Los medios y las retransmisiones deportivas hacen lo mismo. Una conexión VPN a través de tu país restaura la biblioteca que pagas, incluidas las transmisiones en directo que de otra forma te perderías.
• Tu destino tiene una red con filtros fuertes: Algunas redes bloquean apps de mensajería populares, plataformas sociales o servicios en la nube. Una VPN tunela ese bloqueo porque la red local sólo ve tráfico cifrado al servidor VPN, no qué servicios estás usando en realidad.

Una VPN — Red Privada Virtual — crea un túnel cifrado entre tu dispositivo y un servidor del proveedor. Todo lo que envías pasa por ese túnel antes de llegar al resto de internet. Visto desde fuera — para el sistema Wi-Fi del hotel, para los demás huéspedes en la misma red, para el operador local — tu tráfico es ruido cifrado que fluye hacia un servidor en alguna parte. Nadie puede leer tu contenido, ver qué sitios visitas ni capturar contraseñas.

El servidor VPN hace de intermediario. Recibe tu petición cifrada, la descifra, la reenvía al sitio o servicio que en realidad querías, toma la respuesta, la cifra de nuevo y la envía por el túnel de vuelta a tu dispositivo. Para el sitio web, la petición vino desde la ubicación del servidor VPN, no desde la tuya. Por eso una VPN te permite seguir usando tu banco y tu biblioteca de streaming: a ojos de esos servicios, sigues en casa.

Todo esto ocurre de forma continua e invisible. Una vez conectada la VPN, usas el móvil o el portátil exactamente como siempre. Cargan páginas, funcionan las apps, llegan y salen correos. La única diferencia es que todo va cifrado por el camino y tu ubicación real queda oculta.

El Wi-Fi público es la razón número uno por la que quien viaja recurre a una VPN, y el riesgo no es teórico. Recibidores de hoteles, terminales de aeropuerto, vestíbulos de estación y cafeterías operan redes abiertas o compartidas. En ellas, alguien con herramientas básicas puede colocarse entre tú y el router en lo que se llama ataque de hombre en medio — leyendo en silencio tus datos mientras pasan. La variante más común es el «evil twin»: un Wi-Fi falso con un nombre como Hotel_Guest_WiFi que parece legítimo pero en realidad lo controla quien ataca. Tu dispositivo se engancha al señal más fuerte y a partir de ese momento todo lo que envías pasa por equipo que no controlas.

Las webs modernas suelen usar HTTPS, que cifra el contenido de una sola sesión de navegador. Pero HTTPS no cubre todo. No cubre la app de correo revisando mensajes en segundo plano. No cubre los metadatos de la mayoría de las apps de mensajería. No cubre las consultas DNS que silenciosamente delatan cada dominio que visitas. Una VPN cifra todo eso a nivel de dispositivo, antes de que la red lo vea. Incluso en un Wi-Fi comprometido, quien lo opera no obtiene nada legible.

La otra categoría son los servicios sensibles a la ubicación. La web del banco detecta una IP extranjera y dispara la prevención de fraude, bloquea la cuenta hasta que llamas a atención al cliente — incómodo a seis husos horarios. Las plataformas de streaming muestran otra biblioteca o te cierran el paso. Las webs de aerolíneas y hoteles a veces ajustan precios con la ubicación que detectan. Una conexión VPN a través de un servidor en el país que elijas levanta todo eso. El banco te ve en casa. El streaming te sirve la biblioteca de siempre. Las webs de reservas no pueden aplicarte su tarificación por ubicación.

Y en redes que filtran con dureza — algunos Wi-Fi corporativos, algunas redes de hotel, ciertos sistemas de filtrado regionales — una buena VPN tunela limpiamente porque el filtro sólo ve tráfico cifrado al servidor VPN. Qué servicios usas de verdad queda invisible para el filtro.

• Una VPN no te vuelve anónimo: Tu proveedor VPN ve tu IP real y a qué sitios te conectas. Los proveedores serios se comprometen con políticas de no-registro auditadas por firmas independientes, pero esa es su palabra — estás confiando en ellos. Si la anonimidad real es tu objetivo (poco habitual en viajeros), una VPN sola no basta.
• Una VPN ralentiza un poco la conexión: La encriptación cuesta algo de procesamiento y enrutar por un servidor remoto añade distancia. Un buen proveedor te quita un 10–30 % de velocidad cruda — apenas perceptible al navegar y al correo, más notable en videollamadas y descargas grandes. Elige un servidor cerca de donde estás de verdad para minimizar la pérdida.
• Algunas redes intentan bloquear VPNs activamente: Algún Wi-Fi corporativo, algunos portales cautivos de hotel y ciertos sistemas de filtrado usan inspección profunda de paquetes para identificar y dejar caer el tráfico VPN. Los proveedores premium lo contrarrestan con funciones de ofuscación que disfrazan el tráfico VPN como navegación HTTPS normal. Cuando una conexión falla, cambiar de protocolo o activar ofuscación suele resolverlo.
• Algunos servicios detectan el uso de VPN: Bancos y plataformas de streaming mantienen listas de rangos de IP de proveedores VPN conocidos. Algunos bloquean esos rangos por completo, otros te dejan entrar pero marcan la sesión para verificación adicional — un código extra, una retención temporal, una notificación de seguimiento. Eso es la seguridad funcionando como debe, no un fallo. Avisar al banco de las fechas del viaje antes de salir reduce mucho la fricción.

• Instálala en todos los dispositivos del viaje: Móvil, portátil, tableta. Los proveedores premium permiten cinco a diez conexiones simultáneas con una cuenta, así no tienes que hacer malabares. Instala la app nativa, no una extensión de navegador — las extensiones sólo cifran pestañas, las apps nativas cifran todo lo que el dispositivo envía.
• Pruébala contra cargas reales: Conéctate a un servidor en tu país y comprueba lo que de verdad necesitas: el banco entra, el doble factor llega, la biblioteca de streaming reproduce, las herramientas de trabajo cargan. Luego prueba un servidor cerca del destino y comprueba lo mismo. Lo que falla en casa, falla en el extranjero — arréglalo ahora.
• Activa el kill switch: El kill switch es la función más importante para viajar. Bloquea todo el tráfico de internet si la conexión VPN cae sin avisar — algo que pasa cuando el portátil sale del reposo, cuando cambias de Wi-Fi o cuando el enlace del hotel se vuelve inestable. Sin él, el dispositivo cae en silencio a la red sin protección y la app del banco puede enviar una petición con tu IP real antes de que te enteres.
• Verifica la protección contra fugas DNS: Las consultas DNS traducen nombres de sitios en direcciones. Si esas consultas se escapan fuera del túnel VPN, quien observa la red ve cada dominio que visitas aunque el contenido vaya cifrado. Las buenas apps VPN encaminan el DNS por el túnel automáticamente, pero conviene confirmarlo con un sitio de prueba de fugas DNS mientras estás conectado.
• Ten listo un protocolo de reserva: Si el protocolo por defecto no conecta en el destino, importa saber cómo cambiar. La mayoría de los proveedores ofrecen varias opciones — WireGuard, OpenVPN, a veces un modo de ofuscación propio. El movimiento de rescate estándar es pasar de WireGuard a OpenVPN sobre TCP 443, que para la mayoría de los filtros parece tráfico web normal.

• Usar una VPN gratis: Los proveedores de VPN gratis necesitan ingresos, y si no pagas con dinero, pagas con datos. Suelen monetizar vendiendo datos de navegación a anunciantes, inyectando publicidad en páginas o ejecutando procesos intensivos en tu dispositivo. A varias apps gratuitas conocidas se las ha pillado haciendo las tres cosas. La herramienta de seguridad que instalas para proteger tus datos es la que los está minando. Una VPN de viaje de pago cuesta menos al mes que un café de aeropuerto.
• No probarla antes de viajar: Descubrir en pleno viaje que la app no instala, que la suscripción ha caducado o que el servicio está bloqueado en el destino es el peor momento. Descargar apps nuevas y resolver problemas de conexión en una red extranjera con posibles barreras de idioma y banda es mucho más difícil que hacerlo desde el sofá.
• Dejar la VPN apagada en Wi-Fi público: La VPN sólo te protege cuando está conectada. Mucha gente la enciende para la banca y navega normal sin ella, exponiendo consultas DNS, historial y tráfico de apps en segundo plano no cifrado individualmente. En Wi-Fi público lo más seguro es dejar la VPN encendida en continuo.
• Olvidarte de activar el kill switch: La VPN está activa, navegas seguro, y el Wi-Fi del hotel cae tres segundos. Sin kill switch, el dispositivo se reconecta en silencio a la red sin protección, la app del banco manda una petición con tu IP real, y ese breve hueco es suficiente para una fuga. Los kill switches existen exactamente para ese escenario — actívalos.
• Esperar anonimidad total: Una VPN te protege de amenazas de la red local y desbloquea servicios geo-restringidos. No te vuelve invisible en internet. Tu proveedor VPN, los sitios donde inicias sesión (a través de cookies y cuentas) y tu propio dispositivo pueden seguir identificándote. Para fines de viaje, el nivel de protección es más que suficiente — pero conviene saber dónde está la línea.

Cuando tocas «Conectar», tu dispositivo y el servidor VPN ejecutan un saludo criptográfico. Ambos lados intercambian claves usando criptografía asimétrica — un proceso que establece un secreto compartido sin transmitirlo nunca por la red. Una vez completado el saludo, todo el tráfico posterior va cifrado con algoritmos simétricos rápidos como AES-256 o ChaCha20.

Los dos protocolos con los que te encontrarás más manejan esto distinto. WireGuard es el estándar moderno: una base de código mínima y auditable (unas 4 000 líneas, frente a cientos de miles en protocolos viejos), sólo UDP, y excepcionalmente eficiente en móvil donde la batería importa. Su límite principal es justo ese sólo-UDP — un administrador de red puede bloquearlo dejando caer tráfico no-TCP en puertos inusuales.

OpenVPN es la alternativa más vieja y flexible. Puede correr sobre UDP o TCP, y configurado en TCP 443 — el mismo puerto que toda web HTTPS — se vuelve muy difícil para un cortafuegos básico distinguirlo del navegar normal. Eso lo hace mejor elección en redes restrictivas, aunque cueste algo de velocidad frente a WireGuard.

La inspección profunda de paquetes (DPI) es la técnica que usan los sistemas de filtrado avanzados para identificar tráfico VPN incluso en puertos estándar. Cada protocolo tiene patrones de bytes distintivos en las cabeceras — DPI examina esos patrones para identificar y bloquear conexiones VPN. La ofuscación lo contrarresta aleatorizando las cabeceras y rellenando el tráfico para que coincida con el perfil estadístico de HTTPS normal. Es una carrera tecnológica continua entre proveedores VPN y los sistemas que tratan de detectarlos.

Una fuga DNS ocurre cuando tu dispositivo envía consultas de nombres fuera del túnel. Normalmente, al visitar un sitio, el dispositivo pide a un servidor DNS que traduzca el nombre de dominio a una IP. Si esa consulta va al DNS del proveedor de internet en lugar del DNS de la VPN, ese proveedor — y cualquiera que observe la red — ve cada sitio que visitas, aunque el contenido de la página vaya cifrado. Las buenas apps VPN encaminan todas las consultas DNS por el túnel automáticamente, pero una página de prueba de fugas es la forma fácil de verificarlo.

• ¿No hace esto ya mi iPhone con iCloud Private Relay?: No del todo. Private Relay es una función para Safari y Mail, no una VPN a nivel de sistema — no cifra el tráfico de tu app del banco, de tu cliente de correo distinto a Apple Mail, de tus apps de mensajería ni de nada fuera de Safari. Tampoco cambia tu ubicación aparente de un modo que satisfaga al banco o desbloquee tu biblioteca de streaming. Private Relay es un extra útil; no sustituye una VPN de viaje.
• ¿Seguirán funcionando Netflix y otros servicios de streaming?: Casi siempre sí, a veces con tropiezos. Las plataformas mantienen listas de IPs de proveedores VPN conocidos, así que un servidor concreto puede estar bloqueado mientras otro del mismo país pasa. El truco habitual es cambiar a otro servidor de tu país hasta que uno entre. Los proveedores premium rotan IPs con regularidad, y por eso pagas.
• ¿Necesito VPN si sólo uso datos móviles del teléfono?: El móvil es notablemente más seguro que el Wi-Fi abierto — la conexión entre el teléfono y la antena ya va cifrada, así que los ataques de hombre en medio y «evil twin» no aplican. Pero los datos móviles no resuelven el geobloqueo (el banco sigue viendo una IP extranjera, la biblioteca de streaming sigue rotando) y no cambian que tu operador de roaming o el operador local sigan viendo a qué sitios te conectas. El caso para la VPN es más débil en datos móviles que en Wi-Fi de hotel, pero no es nulo.
• ¿Debo dejar la VPN encendida todo el viaje?: En Wi-Fi público o compartido, sí — déjala corriendo en continuo. En tus propios datos móviles es menos crítico pero sigue añadiendo privacidad y evita que bancos y streamings te saquen del flujo habitual. El precio es algo de velocidad y algo de batería. Muchos viajeros con experiencia la dejan encendida por defecto y sólo desconectan para tareas concretas que necesitan IP local, como apps de navegación que no funcionan a través de VPN.
• ¿Una VPN consume mucha batería del teléfono?: Algo. La encriptación necesita procesamiento, el procesamiento consume batería. En un teléfono moderno con un protocolo eficiente como WireGuard el impacto está en torno al 5–15 % de consumo adicional a lo largo de un día — perceptible, no incapacitante. Si la batería aprieta un día, enciende la VPN cuando estés en Wi-Fi o accediendo a servicios sensibles y desconecta en datos móviles si estás cómodo con la red.