Francisco Luis de Andrés no tiene pelos en la lengua cuando habla de conectarte al wifi del aeropuerto o del hotel. Después de resolver incidentes críticos en sectores como transporte, energía y finanzas durante más de dos décadas, sabe exactamente qué ocurre cuando introduces tu contraseña en una red que no controlas.
Su mensaje es directo: conectarte a redes que no conoces permite que intercepten todo tu tráfico. El 19 de enero de 2026, en entrevista con AS/Meristation, Francisco Luis de Andrés confirmó que en hoteles y aeropuertos proliferan puntos falsos diseñados específicamente para capturar datos. La solución más segura, según él, es usar el móvil como hotspot o, si no queda más remedio, recurrir a una VPN que cifre las comunicaciones.
Qué es un ataque por wifi pública y por qué golpea tan fuerte
Cuando te conectas a una wifi abierta en un hotel o cafetería, tu dispositivo se vuelve visible para cualquiera que esté en esa red. Esto incluye hackers que configuran su equipo para posicionarse entre tu móvil y el servicio, interceptando contraseñas, correos y datos bancarios. El Instituto Nacional de Ciberseguridad de España advierte que tu información puede ser interceptada por personas malintencionadas en este tipo de conexiones.
Los ciberdelincuentes emplean técnicas como el snooping y el sniffing para capturar todo lo que transmites. Según datos de McAfee de julio de 2025, el 40% de los usuarios han sufrido un compromiso de datos mientras usaban redes wifi públicas. Uno de cada cuatro hotspots wifi es vulnerable a ataques, y el 78% de las personas no utiliza protección con VPN cuando viaja.
Por qué esto explota ahora en hoteles de cinco estrellas
Frente a este escenario, la situación se agrava con la popularización del teletrabajo y los nómadas digitales. De Andrés participó en decenas de aperturas de hoteles y desarrolló el servicio de mystery hacker: llegaban como huéspedes, pedían imprimir unas entradas con un pendrive y, así de fácil, tomaban control del equipo de recepción y de la red del hotel.
- El APT28 (Fancy Bear) ha orquestado campañas desde hoteles de alto nivel para capturar cuentas privilegiadas
- Los hoteles de cinco estrellas son un caramelo para atacar a personas con altos cargos
- Infraestructura obsoleta: muchos hoteles operan con hardware antiguo y software desactualizado
- Los atacantes crean redes falsas con nombres idénticos al wifi oficial del hotel (táctica «evil twin»)
| Riesgo | Probabilidad | Impacto |
|---|---|---|
| Interceptación datos | 40% usuarios afectados | Robo identidad |
| Red falsa «gemelo malvado» | 1 de cada 4 hotspots vulnerable | Control total tráfico |
| Hardware obsoleto hoteles | Mayoría sector turístico | Acceso sistemas internos |
Francisco Luis de Andrés: Así afecta a viajeros y empresas en febrero de 2026
El problema se agrava cuando viajamos. De Andrés identifica tres fases críticas de riesgo. Antes del viaje, con reservas en webs fraudulentas y aplicaciones pirata. Durante, con el uso de wifis públicas y pérdida o robo de dispositivos. Después, cuando compartimos en redes sociales dónde hemos estado, facilitando fraudes o robos en nuestra ausencia.
En regímenes autoritarios como China, Cuba o Angola, las comunicaciones pueden ser monitorizadas directamente por el Estado. Publicar en tiempo real dónde estamos puede violar leyes locales o delatar que nuestra casa está vacía. Los datos de viaje parecen una tontería, pero son muy golosos para grupos organizados.
Para empresas, el impacto es devastador. De Andrés acaba de asistir a un incidente de seguridad en España, en una empresa grande. Fueron más de doce horas diarias de trabajo hasta contenerlo. Muchas empresas ven la seguridad como un gasto y posponen la inversión hasta que un ataque las obliga a gastar mucho más.
Más allá del wifi: por qué las contraseñas ya no sirven
Esto revela algo importante sobre nuestra fragilidad digital. De Andrés es tajante: «Trabajar a día de hoy solo con contraseñas es un error garrafal». Cualquier contraseña de ocho caracteres se rompe en segundos. Sin doble factor de autenticación, es papel mojado.
Lo mínimo aceptable son trece caracteres combinados con un segundo factor —un código en el móvil o biometría—, aunque para estar realmente seguros habría que llegar a 25. El problema es que a la gente le cuesta recordarlas. Muchas personas y empresas no han entendido que la contraseña se rompe con mucha facilidad.
El horizonte tampoco tranquiliza. La automatización de ataques mediante inteligencia artificial, los deepfakes de voz o imagen y la fatiga por exceso de alertas dibujan un escenario complejo. Dentro de poco puedes recibir una llamada con la voz de un familiar pidiendo dinero. Con un vídeo y un fragmento de audio ya se puede generar. De Andrés participa en el desarrollo del CACAO Framework en Estados Unidos, un lenguaje que permite respuestas automáticas ante patrones de ataque.
Qué hacer antes de tu próximo viaje
Mirando adelante, De Andrés recomienda prudencia con el dinero: efectivo en pequeñas cantidades, tarjetas de prepago para limitar el impacto y nunca perder de vista la tarjeta. Nunca se la des al camarero o al recepcionista. La regla de oro es no conectarse a puntos de acceso wifi que no conocemos.
Si no queda más remedio, usar el móvil como hotspot o una VPN de pago que cifre las comunicaciones. En hoteles, preguntar en recepción cuál es la red oficial para evitar redes falsas con nombres similares. Evitar acceder a banca online, cuentas laborales o servicios sensibles desde redes públicas.
La idea clave es simple: nuestros datos valen más que nuestros dispositivos. Protege primero la información y lo demás será reemplazable. Una frase sencilla que resume una realidad cada vez más difícil de ignorar mientras el sector turístico sigue siendo especialmente vulnerable y los ataques se automatizan con inteligencia artificial.
