Qué es un portal cautivo

Un portal cautivo es la página web que las redes Wi-Fi de hoteles, aeropuertos, cafés y conferencias presentan antes de dejarte llegar a internet abierto. Te conectas al SSID, abres un navegador, y la red te redirige a un formulario de login, página de términos de servicio, o pasarela de acceso pago. Hasta que envíes, la red rehúsa reenviar tus paquetes.

La técnica está definida de manera laxa en RFC 8908 y RFC 8910, que estandarizan cómo la red puede anunciar la URL del portal vía la opción DHCP 114 o IPv6 Router Advertisements. La mayoría de los portales legados son anteriores a estas RFCs y dependen de la intercepción de tráfico en su lugar.

Cómo funciona la intercepción

Dos mecanismos son comunes.

Redirección HTTP. El gateway enruta todo el tráfico en el puerto TCP 80 hacia su propio servidor web, sin importar la IP de destino. Tu navegador pide http://example.com, el gateway responde con un 302 Found hacia la URL del portal. Esto funciona solo para HTTP plano. Los sitios HTTPS no pueden ser redirigidos de esta manera sin disparar una advertencia de certificado, por lo que los sistemas operativos sondean endpoints HTTP conocidos específicos (Apple usa captive.apple.com, Microsoft usa www.msftconnecttest.com, Android usa connectivitycheck.gstatic.com) para detectar un portal antes de lanzar una pestaña del navegador.

Intercepción DNS. El gateway devuelve su propia IP para cada consulta DNS, así cualquier hostname resuelve al portal. Esto es más agresivo, rompe DNSSEC, y deja a los clientes DNS cifrados (DoH/DoT) en modos de fallo. Las redes que interceptan DNS frecuentemente también bloquean UDP/53 hacia resolvers ascendentes.

Una vez que te autenticas, el gateway agrega tu dirección MAC (o huella de dispositivo) a una lista de permitidos y deja de interceptar tu tráfico.

Por qué los portales cautivos rompen las VPNs

Un túnel VPN necesita alcanzar su servidor. Si el portal cautivo está interceptando todo el tráfico, el túnel no puede establecerse: el gateway del portal responde al handshake VPN en lugar de reenviarlo. Cualquier kill switch configurado para bloquear tráfico no-VPN luego bloqueará la página del portal en sí, dejando al usuario atascado.

El problema del huevo y la gallina: no puedes conectar la VPN hasta que termines el portal, pero un kill switch puede bloquear el portal hasta que conectes la VPN. La mayoría de los clientes VPN resuelven esto detectando la respuesta del sondeo de portal cautivo y temporalmente relajando el kill switch en un "modo portal cautivo" hasta que la autenticación tenga éxito.

Consideraciones de seguridad

La página del portal en sí es servida por el operador de la red, frecuentemente sobre HTTP plano. Eso le da al operador (o a cualquiera cerca de la infraestructura del operador) la habilidad de inyectar scripts en la página. La misma suposición de confianza aplica al resolver DNS del operador, manejo de certificados para cualquier HTTPS que el portal use, y la capa WPA2/WPA3 debajo.

Tres riesgos son prácticos:

• Exposición pre-VPN. Cualquier tráfico que tu dispositivo envíe entre unirse al SSID y terminar el portal es visible para el operador. macOS e iOS lanzan el navegador del portal cautivo en una vista sandboxed que no comparte cookies con Safari, lo que limita el radio de explosión. Las versiones más antiguas de Windows y la mayoría de las versiones de Android usan el navegador por defecto y la sesión completa.
• Portales falsificados. Un access point malicioso puede imitar el SSID de un hotel y servir un portal falso que cosecha números de tarjeta de crédito o logins sociales.
• Inyección persistente de scripts. Algunas redes de hotel inyectan anuncios o scripts de tracking en páginas HTTP incluso después de la autenticación. La navegación solo HTTPS derrota esto.

Guía práctica

Conecta a la red. Deja que el SO detecte el portal y lo abra. Completa el portal en la pestaña del navegador provista por el SO si está disponible. Luego inicia la VPN. Evita iniciar sesión en correo, banca, o cualquier cosa sensible entre unirte al SSID y conectar la VPN. Si el cliente VPN ofrece un prompt de "portal cautivo detectado", prefiere ese flujo sobre deshabilitar manualmente el kill switch.