Glosario
Qué es una fuga de IPv6
Cuando el tráfico IPv6 evita una VPN que solo tuneliza IPv4, exponiendo tu dirección IPv6 real a los sitios que visitas.
IPv6 es la siguiente generación del direccionamiento de internet — direcciones de 128 bits escritas como 2001:db8::1 en lugar del 192.0.2.1 de IPv4. La mayoría de los ISPs caseros en 2026 te asignan ambas. La mayoría de los protocolos VPN solo tunelizan IPv4 por defecto.
Esto crea una fuga. Cuando cargas un sitio web que es alcanzable por IPv6, tu navegador puede preferir la dirección IPv6 y conectar directamente a través de tu interfaz real. La VPN dice que estás en Frankfurt; el sitio web registra tu dirección IPv6 real de tu ISP de casa.
Por qué este es un dolor específico de Windows
Windows agresivamente prefiere IPv6 sobre IPv4 cuando ambas están disponibles. El algoritmo "Happy Eyeballs" intenta IPv6 primero, hace fallback a IPv4 solo si IPv6 falla rápido. La mayoría de los sitios mayores (Google, Cloudflare, Akamai, Facebook) son dual-stack — anuncian ambas. Windows elige IPv6.
Cuando la VPN solo tuneliza IPv4, IPv6 toma la interfaz subyacente. Tu navegador abre una conexión a YouTube vía IPv6, la conexión va por tu router de casa, tu dirección IPv6 real aparece en los logs de YouTube.
Esto no es teórico. Es el comportamiento por defecto en Windows en la última década. Prueba cargando test-ipv6.com con la VPN conectada — si ves tu dirección IPv6 real, tu VPN está filtrando.
Los dos arreglos
Arreglo 1: Tunelizar IPv6 también
Algunos proveedores VPN enrutan IPv6 a través del túnel igual que IPv4. Solución más limpia. Setup de protocolo ligeramente más complejo. WireGuard lo soporta nativamente (allowedIPs ::/0); OpenVPN puede hacerlo con la config correcta; protocolos más antiguos no siempre.
Arreglo 2: Null-routing de IPv6 mientras el túnel está arriba
El otro enfoque: cuando la VPN conecta, instalar una ruta que envíe el tráfico IPv6 a un destino null local. Efectivamente deshabilitar IPv6 por la duración del túnel. El SO sigue intentando IPv6 primero, falla inmediatamente, hace fallback a IPv4 a través del túnel.
Esto es lo que hace Fexyn. Es más simple de hacer correctamente que tunelizar IPv6 a través de cada protocolo, y el comportamiento es uniforme: si la VPN está arriba, IPv6 no se filtra — no va a ningún lado. IPv4 va a través del túnel.
Qué pasa con las apps que necesitan IPv6
La mayoría no. El fallback a IPv4 funciona transparentemente. La excepción son apps que evitan el DNS del sistema y conectan a hosts solo-IPv6 directamente — raro en redes de consumo, común en algunos setups self-hosted o empresariales.
Si tienes una aplicación específica que requiere IPv6, el workaround hoy es desconectar la VPN para esa tarea. El split tunneling para IPv6 actualmente no está en el roadmap de Fexyn porque la justificación del modelo de amenaza es débil — el tipo de usuarios que necesitan IPv6 dentro de un túnel VPN normalmente está corriendo algo custom de todas formas.
Cómo probar
Corre la prueba de fuga DNS de Fexyn — la prueba jala tanto información IPv4 como IPv6 cuando está disponible y marca discrepancias. Con Fexyn conectado, IPv6 debería aparecer como inalcanzable (null-routed) en lugar de mostrar tu dirección real.
Para Wi-Fi público y otras redes no confiables, la ruta de fuga IPv6 es una de las maneras más comunes en que la protección VPN falla silenciosamente. Cerrarla es obligatorio, no opcional.
Prueba Fexyn gratis por 7 días — el null-routing de IPv6 está encendido por defecto; no lo activas tú.
Términos relacionados
Prueba Fexyn gratis por 7 días
App para Windows disponible ahora en Beta. WireGuard, VLESS Reality y OpenVPN, sin registros de historial de navegación, consultas DNS ni contenido del tráfico.
Ver precios