Configurar una red Wi-Fi de invitados siempre ha sonado a decisión sensata: das acceso a amigos, familiares o clientes sin exponer tus ordenadores, móviles, impresoras o dispositivos domóticos. Es el típico “cortafuegos casero” que muchos activamos en casa y que también usan cafeterías, hoteles o aeropuertos para que los clientes naveguen sin tocar la red interna. El problema es que esa confianza acaba de recibir un golpe serio.

Un grupo de investigadores presentó en el NDSS 2026 (Network and Distributed System Security Symposium) una técnica llamada AirSnitch que demuestra que la separación entre la red principal y la de invitados puede romperse incluso cuando el router tiene activado el aislamiento entre dispositivos y usa cifrado moderno como WPA2 o WPA3. La clave es importante: no estamos ante un ataque de fuerza bruta ni ante alguien “rompiendo” tu contraseña Wi-Fi. AirSnitch encuentra un camino alternativo donde esa protección, simplemente, no llega.

AirSnitch no es un “programa malicioso” listo para descargar, sino una técnica que explota una debilidad en cómo muchos puntos de acceso implementan el aislamiento de clientes. En teoría, esa función impide que dos dispositivos conectados a la misma Wi-Fi se vean o se hablen directamente. En la práctica, según el estudio, no existe un estándar único: cada fabricante lo resuelve a su manera. En sus pruebas, los investigadores analizaron 11 dispositivos distintos —desde routers domésticos hasta equipos profesionales y firmwares alternativos— y encontraron que todos eran vulnerables a técnicas de AirSnitch.

El mecanismo es tan inquietante como ingenioso. Aunque los dispositivos estén “aislados”, el router sigue gestionando tráfico y conexiones con mecanismos internos compartidos. AirSnitch aprovecha esa gestión para engañar al punto de acceso y lograr que parte de la información que debería ir de un dispositivo a otro pase primero por el atacante. En la práctica, habilita un escenario Man-in-the-Middle: la víctima no ve nada raro, pero su tráfico puede ser observado y, en ciertos casos, modificado antes de llegar a destino. Los investigadores demostraron que esto puede facilitar ataques como redirecciones a páginas falsas o manipulación de comunicaciones internas si no están protegidas adecuadamente.

El riesgo se dispara en redes públicas o compartidas, donde muchas personas se conectan con la misma contraseña del local. En casa, el impacto suele ser más limitado porque el atacante primero necesita la clave: tendría que ser un invitado con acceso legítimo. Aun así, el hallazgo deja una conclusión incómoda: tener contraseña y activar “red de invitados” no garantiza seguridad ni privacidad.

Como el descubrimiento es reciente, no hay un arreglo universal inmediato. La solución depende de actualizaciones de firmware y de cambios más profundos en el diseño del aislamiento por parte de los fabricantes. Mientras tanto, mantener el router actualizado, usar contraseñas robustas y evitar operaciones sensibles en redes públicas sin protección adicional siguen siendo medidas razonables. En entornos empresariales, además, se recomienda segmentar de forma más estricta, separando realmente los dispositivos en distintos entornos internos y no confiándolo todo a una sola función del router.