Navegar con una VPN en el móvil da una falsa sensación de seguridad cuando creemos que todo el tráfico pasa por el túnel cifrado y que nada puede escaparse. Sin embargo, en Android (y también en otros sistemas) hay matices importantes: existen fugas de tráfico, decisiones de diseño del sistema operativo y limitaciones técnicas que pueden romper esa supuesta “burbuja” de privacidad si no sabes lo que estás haciendo, revisa los ajustes ocultos de Android para ganar privacidad.
Si quieres máxima privacidad en Android y bloquear todo lo que salga fuera de tu VPN, tienes que conocer muy bien cómo funciona el sistema, qué están descubriendo proveedores como Mullvad, NordVPN o ExpressVPN, qué opciones ofrece Google para empresas y qué límites no se pueden salvar solo con una app. Vamos a verlo a fondo, con un enfoque práctico y sin tapujos.
¿Qué hace realmente una VPN en tu móvil?
Una VPN en el móvil crea un túnel cifrado entre tu dispositivo y un servidor remoto. Todo lo que salga por esa “tubería” se encapsula y viaja protegido hasta el servidor VPN, que es quien se asoma a Internet “en tu nombre” con su propia IP pública. Las webs, apps y servicios online verán la IP del servidor VPN y no la de tu conexión real, lo que complica el rastreo básico por dirección IP.
En la práctica, cuando activas una VPN en Android o iOS, consigues una capa extra de protección en redes Wi‑Fi inseguras (aeropuertos, cafeterías, hoteles…), reduces la exposición de tu IP a webs y anunciantes y puedes sortear bloqueos geográficos siempre que respetes las leyes y condiciones de uso de cada servicio. Eso sí, no es un antivirus ni una solución mágica de anonimato total: tu proveedor de VPN puede ver el tráfico que pasa por sus servidores y tienes que confiar en él.
En móviles, además, la VPN suele convivir con otros ajustes de red como el APN (punto de acceso del operador) o funciones de red empresarial. Son mundos distintos, pero se gestionan desde zonas parecidas de los ajustes, así que conviene no confundirlos: el APN controla cómo te conectas a la red móvil de tu operador, mientras que la VPN controla por dónde sale tu tráfico hacia Internet.
¿Por qué quieres bloquear todo lo que salga fuera del túnel VPN?
Cuando activas una VPN “por seguridad” lo normal es que des por hecho que no habrá ni un solo paquete fuera del túnel. Ese es el ideal: que, o bien todo sale por la VPN, o bien el móvil se queda sin conexión. Ese comportamiento es clave si tienes un modelo de amenaza exigente: periodistas, activistas, personas que viajan a países con censura, profesionales que manejan datos sensibles, etc.
En Android existe desde hace años la combinación de opciones “VPN siempre activada” y “Bloquear conexiones sin VPN” dentro de Ajustes → Red e Internet → VPN. Sobre el papel, Google documenta que con esas opciones activadas todo el tráfico que no use la VPN se bloquea, de forma que no haya “escapes” si la app se cae o si te cambias de Wi‑Fi o de datos móviles en medio de una conexión.
Además, muchos proveedores añaden su propia capa de seguridad con funciones tipo Kill Switch o protección de red. La idea es sencilla: si la VPN se desconecta, la app corta Internet automáticamente para evitar que tus datos circulen sin cifrar. ExpressVPN lo llama “protección de red”, otros simplemente “kill switch”. En teoría, combinando estas funciones con las opciones del sistema de Android, deberías lograr el objetivo de no dejar salir nada sin pasar por el túnel.
El problema: Android filtra tráfico incluso con la VPN “blindada”
El punto delicado es que, según ha denunciado Mullvad VPN en una auditoría de seguridad, Android no cumple al 100 % con esa promesa. Sus pruebas muestran que cada vez que el dispositivo se conecta a una red Wi‑Fi, el sistema manda tráfico fuera del túnel VPN incluso cuando están activadas las opciones “VPN siempre activada” y “Bloquear conexiones sin VPN”.
Ese tráfico “que se escapa” no es trivial: Mullvad ha detectado que pueden filtrarse direcciones IP de origen, consultas DNS, tráfico HTTPS e incluso tráfico NTP (el protocolo que se usa para sincronizar la hora). Todo esto sale directamente a Internet sin pasar por el servidor VPN, precisamente en el momento en el que Android está comprobando la conectividad de la red.
Google ha diseñado así el sistema por motivos de funcionalidad: necesita verificar si hay Internet, detectar portales cautivos (las típicas redes de hotel o aeropuerto que muestran una página de login) y gestionar el estado de la conexión. El resultado es que las comprobaciones de conectividad se envían intencionadamente fuera del túnel. Es decir, no es un bug puntual, sino un comportamiento por diseño del sistema operativo.
Documentación engañosa y presión de Mullvad a Google
El gran enfado de Mullvad no viene solo por la fuga en sí, sino por la forma en que Google describe la función “Bloquear conexiones sin VPN” en su documentación oficial. Actualmente Android explica que, al activar esta opción, “el sistema bloquea cualquier tráfico de red que no use la VPN”. Esa frase, tal cual, hace que cualquier usuario entienda que no saldrá ni un byte fuera del túnel.
Mullvad ha pedido a Google que corrija la documentación para dejar claro que hay una excepción: las comprobaciones de conectividad. Proponen que se explique que “el sistema bloquea cualquier tráfico de red que no use la VPN, excepto las comprobaciones de conectividad”. Además, han solicitado que Android incorpore una opción para desactivar esas comprobaciones cuando se use el bloqueo, algo así como un tercer ajuste: “Deshabilitar comprobaciones de conectividad”.
La razón es sencilla: para un perfil de usuario que busca máxima privacidad y anonimato, estas fugas pueden ser inaceptables. Aunque Mullvad reconoce que, para la mayoría de personas, el riesgo práctico quizá no sea dramático, en escenarios de alta vigilancia o correlación de datos la IP de origen, las consultas DNS o la localización de puntos de acceso Wi‑Fi pueden ayudar a desanonimizar.
¿Qué datos se filtran y qué se puede inferir de ellos?
El tráfico que Android manda fuera del túnel durante estas comprobaciones incluye metadatos muy jugosos. Incluso si el contenido del mensaje es inofensivo (una petición para ver si hay Internet, por ejemplo), la información de contexto permite reconstruir patrones:
- Direcciones IP de origen: permiten vincular tu conexión física (tu casa, tu trabajo, el Wi‑Fi del aeropuerto) con el dispositivo que supuestamente estaba “oculto” tras la VPN.
- Consultas DNS: aunque vayan cifradas en algunos casos, el simple hecho de ver qué dominios consultas o a qué servidores apuntas ayuda a perfilar tu actividad.
- Tráfico HTTPS: no se ve el contenido cifrado, pero sí metadatos como SNI, tiempos, tamaños de paquete y destinos, lo que ayuda a inferir qué servicios utilizas.
- Tráfico NTP: revela sincronizaciones de hora y, combinado con otros datos, puede ayudar en ataques de correlación temporal.
Según Mullvad, un actor sofisticado que controle los servidores de verificación de conectividad o que pueda espiar el tráfico en la red (como un ISP o una entidad con capacidad de vigilancia) puede analizar este flujo y asociarlo a ubicaciones de puntos de acceso Wi‑Fi, horarios de conexión y otros patrones. No es algo trivial ni al alcance de cualquiera, pero en determinados contextos de amenaza es un riesgo real.
Fallo detectado en Android 14 y comportamiento al cambiar de servidor
Además de la verificación de conectividad, Mullvad ha detectado que, en Android 14, al cambiar de servidor VPN se producen fugas de consultas DNS incluso cuando está activado el Kill Switch o la opción de bloqueo del sistema. Es decir, al reconfigurar el túnel y cambiar el endpoint, el dispositivo llega a hacer resoluciones DNS fuera de la VPN.
Este comportamiento es especialmente grave porque rompe la expectativa más básica de un usuario que ha activado todas las protecciones del sistema y de la app. La propia idea del Kill Switch es evitar que haya conectividad si la VPN no está en condiciones de proteger el tráfico. Pero en la práctica, en ese “entretiempo” de reconexión, Android deja escapar peticiones DNS que podrían revelar dominios consultados y correlacionar la IP real con la IP del servidor VPN anterior.
Desde Mullvad han propuesto una solución de compromiso para mitigar el problema mientras Google no lo arregla: configurar un tipo de servidor VPN simulado o placeholder cuando la aplicación está gestionando cambios internos, de modo que Android siga pensando que el túnel está activo y no lance tráfico fuera. Aun así, insisten en que la solución de fondo debe venir del propio sistema operativo y de una actualización que cierre estas fugas.
Limitaciones: lo que las apps de VPN no pueden controlar
Una parte importante de esta historia es entender que las apps de VPN no controlan todo el flujo de red del sistema. Pueden pedir permisos, establecer túneles y configurar reglas de firewall dentro de lo que Android permite, pero no pueden reescribir el diseño interno de cómo el sistema verifica la conectividad o gestiona portales cautivos.
Por eso Mullvad y otros proveedores subrayan que, ante este tipo de fugas, no pueden solucionarlo solo desde la aplicación. Lo que sí pueden hacer es ser transparentes, avisar a los usuarios de las limitaciones del sistema operativo e intentar introducir mitigaciones creativas. Pero si Android decide enviar ciertas peticiones por fuera del túnel, la app está atada de pies y manos.
En el pasado ya se han visto otros fallos de filtraciones DNS en servicios VPN, tanto por errores de programación de las propias apps como por comportamientos extraños del sistema operativo. Una buena práctica, que recomiendan muchos proveedores, es usar las aplicaciones oficiales y clientes estándar como OpenVPN o WireGuard con archivos de configuración descargados manualmente. Estos clientes suelen estar mejor auditados y probados a gran escala, lo que reduce el riesgo de bugs añadidos y se puede complementar con App Lock para proteger aplicaciones sensibles.
ExpressVPN y la protección de red frente a las opciones de Android
ExpressVPN ofrece en Android una función específica llamada protección de red, que no deja de ser un Kill Switch avanzado. Su objetivo es cortar Internet automáticamente si la VPN sufre una desconexión imprevista, para que ningún tráfico abandone el dispositivo sin ir cifrado por el túnel.
Cuando la protección de red está activada, se bloquea el tráfico de las apps que deben usar la VPN si hay un corte de conexión, pero se mantiene el acceso a las aplicaciones que hayas configurado para que no pasen por la VPN (tunelización dividida). Es decir, si decides que ciertas apps no usen el túnel, esas seguirán teniendo Internet aunque la VPN caiga, mientras que las que sí dependen de la VPN quedarán bloqueadas.
ExpressVPN diferencia muy claramente su protección de red de la configuración del sistema Android. A partir de Android 8.0, puedes activar desde los ajustes del sistema “VPN siempre activada” y “Bloquear conexiones sin VPN” para la app de ExpressVPN. Si lo haces, Android bloquea absolutamente toda la actividad de Internet cuando la VPN no está activa, incluso si la desconectas a mano. Eso sí, esta configuración desactiva la tunelización dividida y el acceso a dispositivos locales (impresoras, ordenadores, televisores, etc.), algo que ExpressVPN deja claro para que no haya sorpresas.
Esta combinación (protección de red + bloqueo a nivel de sistema) se acerca mucho a la idea de barrera total de salida. Sin embargo, como hemos visto, incluso con estas opciones, Android sigue teniendo esas excepciones de verificación de conectividad que ninguna app puede obviar.
NordVPN, TunnelCrack, TunnelVision y cómo se mitigan las fugas en otros sistemas
La situación en Android contrasta con lo que algunos proveedores han hecho en otros sistemas operativos. NordVPN ha hablado abiertamente de vulnerabilidades como TunnelCrack y TunnelVision, que afectan a la industria VPN en general. Estas técnicas explotan configuraciones de routers, direcciones IP no RFC1918 y manipulación de DHCP para forzar que parte del tráfico salga fuera del túnel.
Para combatirlo, NordVPN ha introducido la función “Permanece invisible en una red local” en macOS y iOS. Al activarla, la app configura parámetros específicos de la API VPN para no exponer el dispositivo en la red local, alerta cuando te conectas a una red potencialmente peligrosa y limita los caminos por los que el tráfico podría escapar fuera del túnel. También han creado un sistema de detección de redes no seguras que identifica rangos IP sospechosos y recomienda activar la función.
Sin embargo, en iOS se han topado con limitaciones y fallos en la implementación de la API VPN de Apple. A partir de ciertas versiones (por ejemplo, iOS 14.2 y superiores), activar esta función puede provocar bloqueos de Internet bajo determinadas condiciones e incluso impedir que la app reciba actualizaciones de cliente, lo que termina cortando la conexión hasta que reinicias el dispositivo. NordVPN reconoce que es una solución “inevitablemente drástica” mientras Apple no arregle los problemas que ellos mismos han reconocido.
Lo interesante para nuestro tema es que, en Android, Linux y Windows, NordVPN afirma haber implementado mitigaciones que evitan fuga de tráfico ante este tipo de ataques. En Linux y Windows, por ejemplo, sus apps modifican el cortafuegos del sistema operativo para bloquear cualquier tráfico que no vaya por el túnel VPN. Es un enfoque más radical y efectivo que el que permite, de momento, la API de Android.
Opciones de Android para empresas: VPN siempre activada y VPN por aplicación
Google, en su documentación oficial para administradores de TI, detalla cómo se puede gestionar la VPN en entornos empresariales mediante soluciones de EMM (Enterprise Mobility Management). Esto afecta tanto a la VPN integrada de Android (PPTP, L2TP/IPSec, IPSec) como a las apps de VPN de terceros.
En Android 7.0 y versiones posteriores, los administradores pueden configurar una “VPN siempre activada” a nivel de dispositivo o perfil de trabajo. El sistema puede iniciar automáticamente el servicio VPN al arrancar el dispositivo y mantenerlo activo mientras el perfil esté encendido. Esta función se integra con la opción de restringir los ajustes de VPN para que el usuario no pueda desactivarla ni cambiar parámetros por su cuenta.
También existe la VPN por aplicación, que permite definir qué apps pueden enviar tráfico a través de la conexión VPN. Se pueden crear listas de permitidas (solo esas pasan por el túnel) o de excluidas (todas pasan por la VPN salvo estas), pero no ambas a la vez. Si no se define ninguna lista, todo el tráfico se envía a la VPN por defecto. Esta granularidad es muy útil en entornos corporativos donde se quiere, por ejemplo, que las apps de trabajo vayan por la VPN y las personales no.
En cuanto a las restricciones del sistema, en versiones como Android 5.0 y 6.0, si se bloquea la configuración de VPN, la app de VPN no se inicia. A partir de Android 7.0, en dispositivos totalmente gestionados, sí puede iniciarse la app marcada como VPN siempre activada por el controlador de políticas del dispositivo, pero no se permiten otras apps de VPN. Todo esto forma parte del ecosistema de control que Google ofrece a las empresas para minimizar fugas y errores de configuración por parte del usuario final.
¿Cómo afecta todo esto a tu privacidad real?
La función principal de una VPN es cifrar tu tráfico en redes públicas y protegerte de miradas indiscretas. Para la mayoría de usuarios, esta protección es más que suficiente: dificulta que alguien en la misma Wi‑Fi pueda espiar tus datos, impide ciertos tipos de ataques de intermediario y evita que webs y aplicaciones vean tu IP real con facilidad, y puedes complementarla con un navegador Firefox Focus para mayor privacidad al navegar.
Las fugas descritas en Android afectan, sobre todo, a quienes tienen un modelo de amenaza más agresivo. Por ejemplo, si temes que un gobierno, un proveedor de Internet o una gran plataforma tecnológica intente correlacionar tu identidad, tu ubicación física y tu actividad online, entonces estas comprobaciones de conectividad y fugas de DNS se vuelven más preocupantes. Los metadatos del tráfico de verificación pueden servir como piezas de un puzle más grande.
No obstante, conviene poner las cosas en contexto: Mullvad admite que, para muchos de sus usuarios, es poco probable que estas fugas supongan un riesgo catastrófico, porque explotar esta información de forma efectiva requeriría un actor con recursos significativos. Aun así, su postura es clara: si el sistema afirma bloquear todo el tráfico fuera de la VPN, no debería haber excepciones silenciosas, y si las hay, el usuario tiene derecho a saberlo de forma transparente.
Consejos prácticos para acercarte a la “máxima privacidad” en Android
Aunque Android tenga estas limitaciones, sí puedes tomar varias medidas para reducir al mínimo las fugas de tráfico fuera de tu VPN y endurecer tu configuración de privacidad:
- Activa “VPN siempre activada” y “Bloquear conexiones sin VPN” para tu app de VPN en Ajustes → Red e Internet → VPN, de modo que el sistema no permita conexiones directas sin pasar por el túnel.
- Usa el Kill Switch o protección de red de tu proveedor (como ExpressVPN, NordVPN, etc.) dentro de la propia app, para que se bloquee Internet si la VPN se cae sin que tú la desconectes a propósito.
- Evita redes Wi‑Fi especialmente sensibles si en ese momento necesitas anonimato fuerte; las fugas asociadas a la verificación de conectividad suelen activarse al conectar a nuevas redes.
- Valora usar clientes estándar como WireGuard u OpenVPN con archivos de configuración manuales cuando tu proveedor los ofrezca, ya que suelen estar mejor auditados y minimizan errores propios de las apps propietarias.
- Mantén Android y las apps actualizadas, especialmente si usas Android 14, porque Google puede lanzar parches que mitiguen estos comportamientos o den más control al usuario.
- Si tu amenaza es extrema (periodismo de investigación delicada, activismo en entornos muy hostiles, etc.), plantéate usar otros sistemas operativos o dispositivos más orientados a la seguridad, al menos para las tareas más sensibles.
Además, recuerda que una VPN no sustituye a otras buenas prácticas: contraseñas robustas, autenticación en dos pasos, desconfianza frente a enlaces sospechosos y una higiene digital básica siguen siendo imprescindibles, uses o no uses túnel cifrado; considera además las Passkeys en Android como alternativa segura a las contraseñas tradicionales.
Consejos finales
En un entorno en el que Android filtra tráfico de verificación, Apple tiene problemas serios en su API VPN, y las plataformas de streaming y otros servicios mejoran en la detección de tráfico cifrado y de patrones de VPN, los proveedores están respondiendo con funciones de sigilo, enrutamiento inteligente y cortafuegos más rígidos.
«]
Herramientas como Clean as Duck ayudan a mejorar la privacidad. Al final, la clave para acercarse a la máxima privacidad en Android consiste en combinar un buen proveedor VPN, las opciones avanzadas del sistema, clientes bien auditados y un uso consciente de las limitaciones reales del sistema operativo, asumiendo que el “blindaje absoluto” es más un objetivo al que aproximarse que una promesa que hoy se pueda cumplir al 100 %. Comparte la información para que más usuarios estén enterados del tema.
Continúar leyendo...