← CRYPT3CHO.COM
[ SEGURIDAD EN REDES PÚBLICAS ] // MAR 2026
WiFi pública en cafeterías:
qué datos expones sin saberlo
Por CRYPT3CHO ·
Monterrey, Nuevo León · 10 min de lectura
82%
de usuarios en México usa WiFi pública sin VPN
3 min
tarda un atacante en posicionarse en la red
HTTP
tráfico no cifrado visible en texto plano
0
routers de cafetería con segmentación por cliente
El escenario real
Son las 10 de la mañana. Llegas a tu cafetería de siempre en San Pedro.
Pides tu americano, abres la laptop y te conectas al WiFi del lugar. En menos de 60 segundos
tu dispositivo está en la misma red que otras 15 personas — entre ellas, potencialmente,
alguien con Kali Linux, una tarjeta de red en modo monitor y 20 minutos de tiempo libre.
No es una hipótesis. Es el vector de ataque más común en redes de uso publico y
el que menos atención recibe porque no deja rastro visible para la victima.
[ ESCENARIO REAL — AUDITORIA CONTROLADA ]
En una prueba controlada realizada por CRYPT3CHO en un local con WiFi pública en el
área metropolitana de Monterrey, logramos capturar en menos de 8 minutos:
nombres de dispositivos, sistema operativo, aplicaciones activas, consultas DNS
y tráfico HTTP sin cifrar de 6 dispositivos distintos — sin interactuar con ninguno de ellos,
sin autenticación especial y sin romper ninguna protección. Solo escuchando la red.
Cómo funciona la red de una cafetería
La mayoría de los routers que los ISP instalan en negocios — Izzi, Telmex, Totalplay —
no tienen segmentación de red por cliente. Esto significa que todos los dispositivos
conectados al mismo WiFi pueden verse entre si. No hay separación entre tu laptop
y la del cliente de la mesa de al lado.
En una red corporativa bien configurada existe algo llamado client isolation:
cada dispositivo está aislado y no puede comúnicarse con otros en la misma red.
En el 95% de los negocios con WiFi pública en México, esto no existe.
# Escaneo pasivo de dispositivos en red pública típica
Iniciando captura en wlan0 (modo monitor)...
Dispositivos detectados en 192.168.1.0/24:
192.168.1.104 Apple iPhone 14 iOS 17.2 WiFi activo
192.168.1.107 Dell Latitude 5520 Windows 11 WiFi activo
192.168.1.112 Samsung Galaxy S23 Android 14 WiFi activo
192.168.1.118 Apple MacBook Pro macOS 14 WiFi activo
192.168.1.121 Lenovo ThinkPad X1 Windows 11 WiFi activo
[!] 5 dispositivos visibles sin autenticación adicional
[!] Client isolation: NO ACTIVO
[!] Trafico HTTP detectado en 3 dispositivos
Los 4 ataques más comúnes en WiFi pública
[ ATAQUE 01 ]
ARP Spoofing / MITM
El atacante se inserta entre tu dispositivo y el router.
Todo tu tráfico pasa por su equipo antes de llegar a internet.
Puede leer, modificar o bloquear cualquier comúnicación no cifrada.
No requiere romper ninguna contraseña.
RIESGO: CRITICO — Credenciales, sesiones, datos
[ ATAQUE 02 ]
Evil Twin / Rogue AP
El atacante crea un punto de acceso con el mismo nombre que el WiFi
del local. Tu dispositivo se conecta automáticamente si la señal es
más fuerte. Todo tu tráfico queda bajo su control desde el inicio
de la conexión.
RIESGO: CRITICO — Suplantacion total de red
[ ATAQUE 03 ]
DNS Poisoning
El atacante modifica las respuestas DNS para redirigirte a sitios
falsos cuando escribes una URL legítima. Abres tu banco, pero
en realidad estas en una copia idéntica controlada por el atacante.
HTTPS puede mitigarlo pero no siempre.
RIESGO: ALTO — Phishing, robo de credenciales
[ ATAQUE 04 ]
Passive Sniffing
Sin interactuar con ningún dispositivo, el atacante captura
todo el tráfico broadcast de la red. Obtiene nombres de equipos,
sistemas operativos, aplicaciones activas, consultas DNS y
cualquier tráfico HTTP en texto plano.
RIESGO: MEDIO — Fingerprinting, reconocimiento
Qué información se expone realmente
Muchos usuarios piensan que si no entran a sitios "importantes" en WiFi pública
no hay riesgo. Esto es incorrecto. Incluso sin hacer nada activo, tu dispositivo
emite información constantemente:
// LO QUE TU DISPOSITIVO TRANSMITE SIN QUE LO SEPAS
— Nombre del dispositivo (ej: "MacBook de Juan", "iPhone de Ana")
— Sistema operativo y version apróximada
— Historial de redes WiFi a las que te has conectado antes (Probe Requests)
— Aplicaciones que consultan internet en segundo plano
— Consultas DNS: que sitios visitas aunque la conexión sea HTTPS
— Trafico de aplicaciones que no usan HTTPS (cada vez menos pero existen)
— Metadatos de conexión: con que servidores te comúnicas, con que frecuencia
Las consultas DNS son especialmente reveladoras. Aunque el contenido de tus
conversaciones en WhatsApp este cifrado, el hecho de que tu dispositivo consulte
los servidores de WhatsApp, tu banco, tu correo y tu sistema de nominas cada
pocos minutos ya dice mucho sobre quién eres y que haces.
El problema del lado del negocio
El dueño de la cafetería tampoco tiene visibilidad de lo que pasa en su red.
Con el router estándar de Izzi o Telmex no puede ver cuántos dispositivos
hay conectados, cuánto consumen, ni si alguien esta haciendo algo que
afecte al resto de los clientes o a su propio negocio.
Casos reales que hemos documentado en auditorías en el área de Monterrey:
[ CASO 01 — CAFETERIA, SAN PEDRO NL ]
Un cliente usaba la red del negocio para minería de criptomonedas via browser.
El dueño notaba que el internet "estaba lento" pero no tenia forma de identificar
la causa. El cliente llevaba 3 semanas haciendo esto sin que nadie lo supiera.
[ CASO 02 — RESTAURANTE, MONTERREY CENTRO ]
Se detectaron descargas P2P (torrent) que saturaban el ancho de banda del negocio.
Los demas clientes tenian conexión extremadamente lenta. El router del ISP
no ofrecía ninguna herramienta para identificar o detener esto.
Cómo protegerte como usuario
- Usa VPN siempre en redes públicas. Cifra todo tu tráfico desde tu dispositivo hasta el servidor VPN. El atacante solo ve tráfico cifrado sin contenido legible.
- Verifica HTTPS. Antes de ingresar credenciales confirma el candado verde y que la URL sea exacta. Desconfia de certificados no validos.
- Desactiva la conexión automática a redes conocidas. Evita que tu dispositivo se conecte a Evil Twins automáticamente.
- No accedas a banca, correo corporativo o sistemas críticos desde WiFi pública sin VPN.
- Activa el firewall local en tu sistema operativo. Bloquea conexiónes entrantes de la red local.
- Usa DNS cifrado (DNS over HTTPS o DNS over TLS) para ocultar tus consultas DNS al operador de la red.
Cómo proteger tu negocio como dueño de cafetería
Si tienes un local con WiFi pública, tu responsabilidad va más alla de dar
acceso a internet. Un incidente de seguridad en tu red — aunque no sea tu
dispositivo el afectado — puede dañar la reputacion de tu negocio y
exponer tus propios sistemas internos.
- Segmenta la red. La red de tus clientes debe ser completamente independiente de la red interna del negocio (TPV, cajas, sistemas administrativos).
- Activa client isolation. Evita que los dispositivos de tus clientes se vean entre si.
- Monitorea quién está conectado. Saber cuántos dispositivos hay, cuánto consumen y si hay tráfico anormal es lo mínimo.
- Implementa límites de uso. Un cliente no deberia poder consumir 5GB en tu red ni conectarse por 8 horas.
- Bloquea puertos de torrent y mining. Protege tu ancho de banda de usos indebidos.
[ SOLUCION PARA NEGOCIOS ]
ControlQbit — Panel WiFi inteligente
Ve en tiempo real quién está conectado a tu red, cuánto consumen
y sacalos con un toque desde tu celular. Limites automáticos de tiempo
y megas. Bloqueo de torrent y mining incluido. Sin cambiar tu router.
Desarrollado por CRYPT3CHO.
controlqbit.com →
Solicitar demo
Conclusión
El WiFi pública no es inherentemente inseguro — el problema es la falta de
configuración adecuada del lado del negocio y la falta de precauciones del
lado del usuario. Con las herramientas correctas, el dueño del local puede
tener visibilidad y control total de su red, y el usuario puede proteger
su tráfico con medidas simples como una VPN.
La próxima vez que te conectes al WiFi de tu cafetería favorita, recuerda:
no eres el único en esa red.