Un evil twin es un punto de acceso WiFi falso que imita el nombre de una red legítima para interceptar todo lo que transmites: contraseñas, emails, datos bancarios. El atacante monta una red WiFi maliciosa con el mismo SSID que la cafetería, el hotel o el aeropuerto, y tu dispositivo se conecta sin pestañear. Clonar una red WiFi lleva menos de cinco minutos con herramientas gratuitas. Y lo peor: no necesitas ser hacker para hacerlo. Cualquier persona con un portátil y una antena WiFi de 20 euros puede montar un ataque WiFi funcional. Así funcionan los gemelos malvados.
Cómo funciona un ataque Evil Twin paso a paso
El concepto es brutalmente simple. El atacante crea un punto de acceso con el mismo nombre (SSID) que una red conocida. Si estás en un Starbucks con WiFi "Starbucks_Free", el atacante lanza otro "Starbucks_Free" con señal más potente. Tu móvil, que prioriza la señal más fuerte, se conecta al WiFi falso automáticamente.
Una vez conectado, todo tu tráfico pasa por el equipo del atacante. Es un ataque de tipo man-in-the-middle, similar al DNS spoofing que permite redirigirte a webs falsas, pero sin necesidad de comprometer ningún servidor. El atacante es el servidor.
El flujo típico sigue estas fases:
- Reconocimiento: el atacante escanea las redes WiFi del entorno con herramientas como airodump-ng (parte de la suite Aircrack-ng).
- Clonación: crea un punto de acceso idéntico con hostapd o herramientas automatizadas como Fluxion o WiFi-Pumpkin.
- Deautenticación: envía paquetes deauth a los clientes conectados a la red legítima para forzarlos a desconectarse y reconectarse al gemelo malvado.
- Captura: intercepta credenciales, cookies de sesión y datos sensibles con herramientas como Wireshark, mitmproxy o Bettercap.
- Portal cautivo falso: opcionalmente, muestra una página de login que imita la del establecimiento para capturar la contraseña del WiFi real o credenciales de redes sociales.
Todo esto ocurre de forma transparente. La víctima ve que está "conectada al WiFi" y navega con normalidad. Mientras tanto, el atacante registra cada paquete que envía.
Por qué tu dispositivo cae en la trampa sin preguntar
Aquí viene la parte que duele: tu móvil está diseñado para caer. Los sistemas operativos almacenan los SSIDs de redes a las que te has conectado previamente y se reconectan automáticamente cuando las detectan. El problema es que el SSID no es un identificador único — cualquiera puede crear una red con el mismo nombre.
El estándar IEEE 802.11 no exige autenticación del punto de acceso hacia el cliente en redes abiertas. Es decir, tu dispositivo pregunta "¿eres Starbucks_Free?" y acepta cualquier "sí" como respuesta válida. En redes con WPA2/WPA3 esto mejora, porque el cliente verifica la clave compartida. Pero en WiFi abierto — el de aeropuertos, hoteles y centros comerciales — no hay verificación alguna.
Android y iOS han mejorado en los últimos años. Desde Android 9 y iOS 14, los dispositivos generan direcciones MAC aleatorias por red para dificultar el rastreo. Pero esto no protege contra un evil twin: si tu móvil recuerda el SSID, se conectará igual a la red WiFi maliciosa.
Windows es particularmente vulnerable. Por defecto, se reconecta a redes conocidas y prioriza por intensidad de señal. El atacante solo necesita una antena más potente que el router legítimo — algo que cuesta menos que una cena.
Casos reales y herramientas que usan los atacantes
En 2024, la policía federal australiana detuvo a un hombre que operaba ataques evil twin en vuelos domésticos y aeropuertos. Usaba un dispositivo portátil para clonar redes WiFi de aerolíneas y capturaba credenciales de correo y redes sociales a través de portales cautivos falsos. Los pasajeros, encantados de tener WiFi gratis, introducían sus datos sin sospechar.
Las herramientas más utilizadas en este tipo de ataques WiFi son todas open source y documentadas:
| Herramienta | Función | Dificultad |
|---|---|---|
| Aircrack-ng | Suite completa: escaneo, deauth, cracking | Media |
| Fluxion | Automatiza evil twin + portal cautivo | Baja |
| WiFi-Pumpkin | Framework para rogue AP con GUI | Baja |
| Bettercap | MITM, sniffing, spoofing modular | Media-Alta |
| hostapd + dnsmasq | Crear AP manualmente con DHCP | Alta |
Lo preocupante no es que existan estas herramientas — son legítimas para auditorías de seguridad. Lo preocupante es que Fluxion automatiza todo el proceso en tres comandos. Si alguien ha buscado cómo la inteligencia artificial se aplica a la seguridad, entenderá que la misma automatización que nos protege también facilita los ataques.
Los hoteles son un objetivo recurrente. El grupo de amenazas DarkHotel (APT-C-06), activo desde aproximadamente 2007, ha utilizado variantes de este ataque para espiar ejecutivos en cadenas hoteleras de Asia. Combinaban WiFi falso con exploits de día cero y spyware personalizado — un cóctel que hace que el spyware convencional parezca un juego de niños.
Cómo protegerte: medidas concretas que funcionan
Vamos a lo práctico. No todo son malas noticias.
- Usa una VPN siempre en WiFi público. Una VPN cifra tu tráfico entre tu dispositivo y el servidor VPN. El atacante verá paquetes cifrados que no puede descifrar. WireGuard, Mullvad o ProtonVPN son opciones fiables. Evita VPNs gratuitas — muchas monetizan vendiendo tus datos de navegación.
- Desactiva la conexión automática a redes conocidas. En Android: Ajustes → Red e Internet → WiFi → desactiva "Conectar automáticamente". En iOS: ve a cada red guardada y desactiva "Conexión automática". En Windows:
netsh wlan show profilespara ver redes guardadas y elimina las que no uses. - Verifica HTTPS siempre. Si una web te pide credenciales sin candado, cierra la pestaña. Los portales cautivos falsos rara vez implementan HTTPS válido. Tu navegador te avisará si el certificado es inválido — hazle caso.
- Olvida redes WiFi públicas después de usarlas. Si te conectaste al WiFi del aeropuerto, bórralo de tu lista cuando acabes. Así tu dispositivo no lo buscará automáticamente la próxima vez.
- Activa la verificación en dos pasos en todas tus cuentas. Si el atacante captura tu contraseña, el segundo factor le bloquea el acceso.
- Usa datos móviles para operaciones sensibles. Banca, correo corporativo, compras: mejor por 4G/5G que por WiFi abierto. Tu conexión celular es significativamente más difícil de interceptar.
Para usuarios más avanzados: configura DNS sobre HTTPS (DoH) en tu navegador. Firefox lo soporta nativamente (Ajustes → Privacidad → DNS sobre HTTPS). Esto impide que el atacante vea qué dominios visitas, incluso sin VPN.
Cómo detectar si estás conectado a un evil twin
Detectar un ataque WiFi tipo evil twin no es trivial, pero hay señales que delatan al impostor:
- Dos redes con el mismo nombre. Si ves "Hotel_WiFi" duplicado en la lista, desconfía. Una podría ser la red WiFi maliciosa.
- Portal cautivo sospechoso. Te pide contraseña de Google, Facebook o email para "acceder al WiFi". Un portal legítimo pide como mucho un código de habitación o aceptar términos.
- Certificados SSL inválidos. Si tu navegador muestra avisos de seguridad en webs que normalmente funcionan bien, alguien podría estar interceptando el tráfico.
- Velocidad anormalmente lenta. Tu tráfico pasa por el equipo del atacante, lo que introduce latencia. Si un WiFi que debería ir bien va extrañamente lento, algo huele mal.
- Desconexiones frecuentes. Los paquetes deauth que el atacante envía para forzar la reconexión provocan caídas intermitentes.
En Android, la app Fing puede escanear la red y mostrarte el fabricante del router. Si un "WiFi del aeropuerto" corre sobre un Raspberry Pi, algo no cuadra. En portátiles, Wireshark permite analizar el tráfico y detectar anomalías como tráfico DNS redirigido o certificados autofirmados.
Preguntas frecuentes
¿Puede un evil twin afectarme si uso WPA3?
WPA3 mejora significativamente la protección porque exige autenticación mutua (SAE), lo que dificulta clonar redes WiFi protegidas. Pero si la red original es abierta — como la mayoría de WiFi públicos — WPA3 no aplica. El estándar Wi-Fi Enhanced Open (OWE) cifra conexiones abiertas, pero su adopción todavía es minoritaria.
¿Mi antivirus me protege contra un ataque evil twin?
No directamente. Un antivirus detecta malware en tu dispositivo, pero un ataque WiFi evil twin opera a nivel de red. Lo que sí ayuda es un antivirus que incluya protección web o VPN integrada, porque puede alertarte si visitas un sitio con certificado sospechoso.
¿Es ilegal montar un evil twin?
Sí. En España, interceptar comunicaciones ajenas está tipificado en los artículos 197 y 197 bis del Código Penal, con penas de hasta cuatro años de prisión. En el marco europeo, el RGPD también aplica si se capturan datos personales. Montar un WiFi falso para capturar datos es un delito, sin matices. Las auditorías de seguridad legítimas requieren autorización escrita del propietario de la red.
¿Los iPhone son más seguros que Android frente a este ataque?
Ambos son vulnerables en redes abiertas. iOS tiene la ventaja de que Safari implementa protecciones contra certificados inválidos de forma más agresiva. Android, por su parte, permite más control manual sobre las redes guardadas. En la práctica, la diferencia la marca el comportamiento del usuario — no el sistema operativo.
¿Puedo saber si alguien ha interceptado mis datos por WiFi?
Difícilmente en el momento. Si sospechas que te conectaste a una red WiFi maliciosa, cambia las contraseñas de las cuentas que usaste durante esa sesión. Revisa accesos recientes en tus cuentas (Gmail, Facebook y la mayoría de servicios lo permiten). Puedes comprobar si tus credenciales han aparecido en filtraciones en Have I Been Pwned.
El siguiente paso
Abre ahora mismo los ajustes WiFi de tu móvil y borra todas las redes públicas guardadas: cafeterías, aeropuertos, hoteles, centros comerciales. Cada una de esas redes es una invitación abierta para que un evil twin te atrape la próxima vez que pases cerca. Tarda treinta segundos y elimina el vector de ataque más común. Si quieres seguir blindando tu seguridad digital, pásate por el blog — tenemos guías sobre phishing en plataformas de compraventa y mucho más que te conviene leer antes de que te pille el próximo atacante creativo.
