¿Es seguro el Wi-Fi en México?

Uno de los mayores eventos de fútbol de este verano es la Copa del Mundo de 2026. El torneo está coorganizado por tres países: Estados Unidos, Canadá y México. Desafortunadamente, los eventos de esta escala atraen no solo a los fanáticos, sino también a los estafadores de todo el mundo. Ya cubrimos cómo los ciberdelincuentes se están preparando para la Copa del Mundo en línea, y hoy nos centramos en la seguridad digital de los aficionados que se desplazarán a México.

El país acogerá 13 partidos y recibirá a millones de turistas. Se alojarán en hoteles, acudirán a los partidos, visitarán restaurantes, se desplazarán por los aeropuertos y visitarán lugares turísticos populares; y allá donde vayan, la tentación de conectarse a redes Wi-Fi públicas será muy alta.

Hemos analizado más de 84 500 puntos de acceso Wi-Fi públicos en Ciudad de México, Guadalajara y Monterrey, y tenemos mucho que contar sobre su seguridad. Alerta de spoiler: muchas redes siguen utilizando estándares de seguridad desactualizados, por lo que no deberías ir de vacaciones sin una protección fiable y una eSIM.

Qué y cómo hemos evaluado

Recorrer México en busca de puntos de acceso Wi-Fi públicos habría sido un poco complicado, aunque eso es precisamente lo que hicimos para un estudio similar sobre la seguridad del Wi-Fi en París. Puedes consultar los resultados en nuestra publicación: ¿Es segura la red Wi-Fi en París?

Esta vez, la misión era mucho más exigente: realizar un mapa del panorama inalámbrico de tres grandes metrópolis. Por eso nos dedicamos al wardriving: escanear y registrar redes inalámbricas desde un vehículo en movimiento, equipados con un teléfono inteligente o un ordenador portátil. Es similar a buscar Wi-Fi en tu teléfono, donde el dispositivo escucha constantemente redes cercanas. Excepto que en lugar de conectarnos a ellos, solo recopilamos sus datos.

Toda la información se utilizó exclusivamente con fines de observación pasiva y análisis de infraestructuras. Más allá de recibir la información de servicio difundida públicamente, los expertos del Equipo de Análisis e Investigación Global (GReAT) de Kaspersky no intentaron autenticarse, interceptar el tráfico, aprovecharse de los sistemas ni interactuar de ningún otro modo con las redes inalámbricas que descubrieron. Los puntos de acceso móviles instalados en automóviles y en dispositivos móviles se excluyeron de la muestra.

Nuestro principal objetivo era la Ciudad de México, la capital y una de las ciudades más densamente pobladas de América Latina. Dimos un paseo en coche por lugares turísticos populares: el Estadio de la Ciudad de México, el Aeropuerto Internacional de la Ciudad de México, el Zócalo, el Paseo de la Reforma, la Colonia Roma, La Condesa, Polanco y Coyoacán.

En Guadalajara y Monterrey, recorrimos rutas similares: estadios, avenidas principales, aeropuertos y barrios populares. A continuación se puede ver un mapa de calor de las zonas que cubrimos, que va del rojo para las zonas con mayor densidad de puntos de acceso públicos, pasando por el amarillo y el verde, hasta el azul para la menor concentración.

Utilizamos reconocimiento de radio pasivo para registrar 84 500 señales y 69 500 identificadores de red únicos en estas tres ciudades. La mayoría de las señales se captaron en la Ciudad de México (61,4 %), seguida de Guadalajara (23,6 %) y Monterrey (14,8 %).

Lo que hemos analizado:

• Identificadores de redes inalámbricas (SSID): los nombres que aparecen en la lista de redes Wi-Fi disponibles.
• Información que se puede obtener de estos identificadores.
• Configuraciones predeterminadas del router y cómo los ISP despliegan sus redes.
• Frecuencias utilizadas y características de la señal.
• Carga del canal y uso del espectro de radiofrecuencia.
• Configuraciones de seguridad de las redes inalámbricas:
  • Redes abiertas e inseguras.
  • Redes con WPS activado.
  • Redes seguras (WPA2/WPA3) con WPS activado.

Puedes encontrar la versión completa del estudio en el blog de Securelist.

Nombres reveladores de puntos de acceso Wi-Fi públicos

Los nombres de red (SSID) pueden dar mucha información al revelar involuntariamente datos sobre fabricantes de hardware, proveedores de servicios de Internet y métodos de implementación, así como si un punto de acceso pertenece a una empresa o a un usuario privado.

Aproximadamente el 34 % de las redes Wi-Fi públicas que registramos no se molestaron en cambiar sus nombres en absoluto, ya fuera manteniendo los SSID de fábrica de los fabricantes de routers o utilizando convenciones de nomenclatura estándar de sus proveedores de servicios de Internet. Para los atacantes, esto puede ser una pista bastante clara, ya que este tipo de nombre de red les permite saber qué proveedor es el propietario de un punto de acceso concreto, qué hardware se está utilizando y cuál es probablemente su configuración predeterminada.

Otro matiz preocupante es el gran número de redes Wi-Fi (más del 30 %) que utilizan la dirección MAC del punto de acceso (BSSID) como nombre visible de la red. Los primeros bytes de un BSSID contienen un identificador único de organización (OUI), que delata al fabricante del router. Esta es una pista útil para los delincuentes: pueden averiguar quién fabricó el hardware y buscar vulnerabilidades específicas de los modelos de esa marca.

¿Está bien protegido el Wi-Fi mexicano?

Un punto de acceso protegido con WPA2/WPA3 puede considerarse más o menos seguro. Todos los demás autenticadores producen resultados mucho más débiles. Agrupamos las redes Wi-Fi públicas en cuatro categorías:

• Seguras (WPA2/WPA3).
• No seguras (abiertas/WEP).
• Débiles (WPA).
• No determinadas.

Los resultados son prácticamente los mismos en las tres ciudades: alrededor del 82 % de todos los puntos de acceso analizados están protegidos por estándares seguros. El protocolo WPA, obsoleto e inseguro, era prácticamente inexistente. Sin embargo, más del 10 % de los puntos de acceso resultaron estar completamente inseguros. Conectarse a estas redes conlleva el riesgo de que se intercepte el tráfico y de que se lleve a cabo una vigilancia encubierta.

Pero la seguridad no se evalúa únicamente en función de los protocolos WPA. También hemos comprobado si existe WPS, la famosa función que permite conectarse rápidamente a una red sin introducir una contraseña, pero que es muy vulnerable a los ataques. Resultó que WPS está habilitado en casi la mitad (47 %) de los puntos de acceso de la Ciudad de México, en el 43 % de Guadalajara y en el 41 % de Monterrey. En promedio, el 45 % de los puntos de acceso son potencialmente vulnerables a ataques relacionados con WPS, lo que supone sacrificar la seguridad en aras de la comodidad.

Además, esta función solía permanecer activa incluso en redes WPA2/WPA3 aparentemente seguras: aproximadamente la mitad de ellas utilizaban WPS. Esto demuestra que contar con WPA2/WPA3 sigue sin ser suficiente para considerar seguro un punto de acceso Wi-Fi, ya que funciones adicionales como WPS pueden seguir dejando la puerta abierta a los ataques.

Qué más debe saber todo turista

Los riesgos digitales durante un viaje no se limitan únicamente a las redes Wi-Fi públicas, sobre todo ahora que muchos están dejando de usar estas redes para pasar a utilizar una eSIM. Sigue habiendo muchas amenazas en lugares concurridos: cargadores USB públicos, códigos QR con enlaces falsificados, ataques a través de NFC y Bluetooth y, por supuesto, tácticas de ingeniería social. Analicémoslo todo con detalle.

Estaciones de carga. Los cargadores USB públicos también pueden ser peligrosos: los delincuentes podrían acceder a los datos de tu dispositivo o intentar instalar malware. Hemos tratado estos ataques en detalle en nuestra publicación, Robo de datos durante la carga de un smartphone.

Códigos QR peligrosos. Los delincuentes pueden colocar códigos QR de phishing en lugares turísticos populares. Los pretextos pueden ser de lo más variados; por ejemplo, anuncios de “eventos” para aficionados de un equipo concreto, o enlaces que supuestamente ofrecen descuentos o menús de restaurantes. En realidad, cualquier código QR que se encuentre en la calle puede considerarse inseguro de manera predeterminada, y no deberías escanearlos con tu teléfono inteligente a menos que tengas instalado un analizador de amenazas de códigos QR.

Retransmisiones, entradas y apuestas falsas. Anteriormente, describimos casos en los que los delincuentes distribuían malware a través de aplicaciones de IPTV falsas para sacar partido del revuelo generado por la Copa del Mundo de 2026. Recuerda que, aunque tengas pensado ver el torneo desde casa, debes mantenerte alerta y no confiar en los primeros sitios web que aparezcan anunciando retransmisiones gratuitas, ofreciendo apuestas o prometiendo ganancias increíblemente generosas.

Ataques de NFC y Bluetooth. Dejar el Bluetooth activado en lugares concurridos también puede causar problemas: alguien podría intentar detectar tu dispositivo, rastrearte o iniciar una solicitud de emparejamiento no deseada. Los servicios NFC con pagos sin contacto también crean riesgos adicionales, sobre todo al pagar en lugares poco fiables.

¿Cómo puedes protegerte y proteger tus dispositivos?

A pesar de la prevalencia de puntos de acceso Wi-Fi públicos seguros con WPA2/WPA3 en Ciudad de México, Guadalajara y Monterrey, nuestro estudio demuestra que las redes Wi-Fi públicas siguen siendo vulnerables. También es importante recordar que los atacantes pueden crear redes falsas, las llamadas gemelas malvadas, camufladas como redes Wi-Fi públicas legítimas en aeropuertos, hoteles, cafeterías y lugares turísticos.

Para el usuario promedio, es prácticamente imposible saber qué grado de seguridad ofrece un punto de acceso concreto al intentar conectarse. Por eso, la opción más segura es utilizar datos móviles para acceder a Internet, eliminando por completo la necesidad de usar Wi-Fi. Además, no hay necesidad de investigar los matices de las leyes locales, las tarifas y otros detalles de telefonía móvil de cada país que planees visitar; basta con comprar una eSIM mundial en línea con solo dos clics. Explicamos cómo hacer que todo el proceso sea muy sencillo en nuestra publicación, Internet en cualquier lugar con Kaspersky eSIM Store.

Si aun así tienes pensado conectarte a una red Wi-Fi pública, utiliza siempre una VPN para proteger tu dispositivo y tus datos al conectarte a redes Wi-Fi desconocidas, especialmente si no son seguras. Esto crea un túnel cifrado entre tu dispositivo y el servidor VPN, lo que hace imposible interceptar tus datos durante la transmisión. ¿Aún no has elegido una VPN? Prueba Kaspersky VPN Secure Connection, que se incluye en la suscripción Kaspersky Premium y Kaspersky Plus.

Ahora bien, si sigues pensando en ver la Copa del Mundo sin ninguna solución de ciberseguridad, al menos sigue estas normas básicas de higiene digital:

• No uses cargadores USB públicos.
• No envíes información confidencial a través de conexiones que no sean seguras.
• No inicies sesión en cuentas bancarias, de correo electrónico o de redes sociales a través de Wi-Fi no seguro.
• Desactiva el Bluetooth y el NFC cuando te muevas por lugares concurridos.
• No confíes en los códigos QR que se encuentran en la calle.
• Conéctate a redes Wi-Fi públicas solo cuando sea absolutamente necesario.

Qué más puedes leer para asegurarte de que animar a tu equipo favorito no solo sea emocionante, sino también seguro:

• No dejes que las aplicaciones de IPTV falsas te arruinen la Copa del Mundo
• El fútbol y las ciberamenazas
• Las ciberamenazas alrededor de la Euro 2024
• Las mejores apps para viajar con seguridad y comodidad
• Seguridad en Airbnb: consejos para viajar seguro