La economía de los portales cautivos: cómo las páginas de inicio de sesión WiFi de los hoteles se convierten en un vector de seguridad y un canal de publicidad oculto
TL; DR
Los portales cautivos de WiFi de hoteles se han convertido silenciosamente en una superficie de ataque a la seguridad (páginas solo HTTP, secuestro de DNS, redes no autorizadas) y en un canal de publicidad programática que recopila datos propios. La mayoría de los clientes VPN fallan en la transferencia. KeepSolid ha integrado un verificador de red de portal cautivo en VPN Unlimited para detectar y reconectarse automáticamente.
El mes pasado me registré en un hotel para una conferencia. Abre la computadora portátil. Haga clic en Wi-Fi. Red hotelera. Aparecerá la familiar pantalla de inicio: ingrese su número de habitación, su apellido, acepte los términos. estándar
¿Qué sucede detrás de esa pantalla de presentación y cuál es el valor?
El portal cautivo, la página de inicio de sesión que ves antes de usar el WiFi de un hotel o aeropuerto, ha evolucionado silenciosamente hasta convertirse en dos industrias paralelas a la vez. Una superficie de ataque a la seguridad. El otro es un canal de publicidad programática que vale dinero real. Comparten infraestructura. La mayoría de los viajeros no ven claramente ambos lados. La mayoría de los proveedores de VPN tampoco lo hacen.
Realidad tecnológica
Un portal cautivo funciona interceptando solicitudes HTTP de su dispositivo antes de autenticarse en la red. No puede omitirlo de la misma manera que lo haría con cualquier otra cosa; la propia red fuerza cada solicitud a través de una redirección hasta que complete el evento que exige el portal. Introduzca un número de habitación. Por favor acepte los términos. A veces da dinero. Mire anuncios de video ocasionales de quince segundos. A veces, se entrega una dirección de correo electrónico que se vende a una plataforma de marketing.
Esto funciona porque su dispositivo necesita realizar una solicitud HTTP cifrada a una URL de prueba conocida para detectar si el acceso a Internet es real. Apple Cautiva Apple usa menos. Microsoft utiliza www msftconnecttest com. Comprobación de conectividad de Google mediante gstatic com. Básicamente, el sistema operativo pregunta a la red "¿Estoy realmente en línea?" Y el portal cautivo responde interceptando esa sonda y redirigiéndola a su página de inicio. Este es un comportamiento de protocolo diseñado, no un error.
¿Por qué tu VPN no puede ayudarte aquí? Cuando inicia un cliente VPN, las comprobaciones de conectividad a nivel del sistema operativo ya han expuesto su dispositivo y activado la redirección del portal. La VPN no puede conectarse porque la red no la deja entrar hasta que usted se autentique en el portal. Entonces apagas la VPN. Haga clic para salpicar. Olvídese de volver a activar la VPN. Explore el resto de su viaje al aire libre.
Esta es una brecha que abordamos cuando desarrollamos el manejo de portales cautivos en VPN Unlimited. La mayoría de los clientes VPN todavía no desactivan esto explícitamente.
Aspecto de seguridad
Lo que sucede en ese portal cautivo no siempre es lo que piensas.
La mayoría de las grandes cadenas hoteleras no cuentan con su propia infraestructura WiFi. Tienen contratos con empresas como Boingo, Aptilo Networks o Cloud4Wi. Estos son productos reales y negocios reales con valores predeterminados de seguridad razonables. Pero la calidad del lanzamiento varía dramáticamente entre propiedades, y un estándar de marca para toda la cadena no siempre se extiende a implementaciones de portales cautivos en una propiedad franquiciada específica en un país específico.
Las fallas de seguridad se dividen en varias categorías. Los más comunes son los portales solo HTTP, la página de inicio en sí no implementa TLS, por lo que las credenciales que ingresa (número de habitación, apellido, a veces detalles de la tarjeta de crédito para niveles premium) cruzan la red local en texto claro. El segundo es el secuestro de DNS, el portal cautivo fuerza todas sus consultas de DNS a través de su solucionador, lo que le brinda al operador del portal visibilidad de cada dominio que consulta durante la sesión, independientemente de cuál sea la configuración de DNS de su dispositivo. Un tercero, menos común pero bien documentado en las conferencias de seguridad, es el portal proactivamente malicioso, un dispositivo fraudulento que se hace pasar por la red del hotel, ofrece su propio toque y recopila cualquier credencial que el usuario escriba antes de conectarse a la red real para que nunca se dé cuenta de que algo anda mal.
No es necesario estar en un entorno de alto riesgo para que esto suceda. Tienes que quedarte en un hotel.
Lado del canal publicitario
Esta es la parte en la que la mayoría de los viajeros no piensan: esa página de presentación también forma parte de la lista de anuncios premium.
El mercado de las "Plataformas de marketing WiFi" es un segmento real y en crecimiento. De las empresas de este segmento, Cloud4Wi es una de las más visibles y ofrece sus productos en hoteles, aeropuertos, comercios minoristas y estadios como una forma de monetizar los segundos y minutos que los huéspedes pasan en portales cautivos. El discurso típico para este segmento es algo como esto: cada huésped que se conecta a su WiFi es una audiencia cautiva para un anuncio de video de quince segundos, una encuesta rápida, una captura de correo electrónico o una oferta patrocinada. El Sitio recopila información de primera mano. Dependiendo de cómo esté configurada la plataforma y de las relaciones con los socios existentes, esos datos pueden compartirse con redes de marketing o usarse para retargeting posterior después de que el huésped se vaya.
La economía funciona para el espacio. Por lo demás, el wifi es puro consumo. Agregar una capa de publicidad programática convierte esto en un flujo de ingresos marginal, especialmente en ubicaciones de alto tráfico. La economía también funciona para los anunciantes, porque las audiencias están inusualmente bien dirigidas (sabes que están en este aeropuerto, este hotel, esta ubicación específica) y predeciblemente atentas (literalmente no pueden hacer nada más en línea hasta que hayan accedido al portal).
Nada de esto es ilegal. Esto no siempre se expresa de una manera que el viajero medio notaría. El botón "Aceptar términos" en el que hace clic apresuradamente a menudo incluye el consentimiento para comunicaciones de marketing, el intercambio de datos con la red asociada del operador WiFi y, a veces, el seguimiento de la ubicación durante la duración de su estadía. La mayoría de la gente no lee los términos. Los portales están diseñados bajo el supuesto de que no lo harán.
Donde chocan dos industrias
Lo que me resulta interesante de esta convergencia es que la misma infraestructura de portal cautivo que se comercializa para publicidad es el punto débil de la seguridad estructural. El operador del portal tiene visibilidad de su dispositivo, sus consultas de dominio y, a menudo, sus credenciales de autenticación. También tienen un incentivo comercial para mantenerte más tiempo en el portal (más impresiones) e identificarte entre sesiones (mejor perfil para venta de datos).
Para un viajero preocupado por la seguridad, los portales cautivos son a la vez un punto de fricción, lo que interrumpe su VPN, y una fuga de privacidad, lo que le perfila mientras su VPN está apagada. Estos no son problemas separados. Son el mismo problema visto desde dos ángulos, y ambos son creados por la misma elección de diseño subyacente: que el sistema operativo necesita comunicarse con la red local en texto claro antes de establecer una conexión segura.
Qué construimos y por qué tomó más tiempo del debido
En KeepSolid finalmente enviamos una función específica a VPN Unlimited para cerrar este ciclo. Lo llamamos Comprobador de red de portal cautivo. La idea básica es sencilla. Cuando el cliente detecta que está detrás de un portal cautivo, en lugar de fallar silenciosamente o forzar al usuario a desactivar manualmente la VPN, la aplicación muestra el portal, permite al usuario completar cualquier autenticación requerida para la red y luego vuelve a conectar automáticamente la VPN. El usuario nunca tiene que acordarse de volver a habilitar la protección. La ventana de exposición varía desde "viaje restante" hasta "segundos que lleva despejar el portal".
La detección en sí es sencilla: el cliente ve patrones de redireccionamiento HTTP específicos que utilizan los portales cautivos, los distingue de otras fallas de conexión y muestra la UX correcta en el momento correcto. La mitad más interesante de la conexión nuevamente. Cuando la VPN vuelve a estar en línea después del portal, no utiliza de forma predeterminada el protocolo seleccionado por el usuario, sino que vuelve al modo óptimo, el selector automático que elige el mejor protocolo y servidor para las condiciones que se cumplen en ese momento. En una red hotelera que filtra el transporte estándar, esto a menudo significa cambiar a KeepSolid Wise o VLESS en lugar de WireGuard, que no habría podido conectarse hace un minuto. El comportamiento es el mismo con Windows, macOS, Linux, iOS, Android y las extensiones del navegador. El portal cautivo es un problema multiplataforma; La solución también lo será.
Seré honesto por qué esto debería haberse enviado más tarde. Los problemas del portal cautivo no son visibles en las métricas estándar del producto. Los usuarios culpan al "WiFi" o a la "VPN rota". No lo pronuncian como una brecha característica. Esto se ve en los tickets de soporte al mismo tiempo, no combinado con una señal clara visible desde el tablero. Sólo lo convertimos en una prioridad cuando nuestro propio equipo abordó el problema personalmente en un viaje de negocios que se volvió imposible de ignorar.
Creo que esto es lo más honesto que puedo decir sobre muchos desarrollos de productos de seguridad. Las características que son más importantes para los usuarios en condiciones adversas a menudo no producen señales de demanda claras en condiciones normales. Los hiciste porque estabas allí, no porque el embudo te lo dijera.
¿Qué significa esto para el resto de la sección?
Para los viajeros, los consejos prácticos no cambian con respecto a cualquier otra sección de seguridad. Utilice una VPN. Úselo constantemente. Sospeche de los nombres de las redes. Lea los términos del portal cautivo incluso cuando sea tedioso.
Lo que creo es la parte sistémica. Los portales cautivos son un artefacto de diseño de una era anterior de la infraestructura de Internet, cuando la autenticación antes del cifrado era la única función. Nosotros poseemos la arquitectura, y en la última década dos industrias se han posicionado por encima de ella: la exposición a la seguridad, por un lado, y la publicidad programática, por el otro. La respuesta de la industria VPN ha sido principalmente tratar los portales cautivos como errores de usuario en lugar de problemas estructurales que deben resolverse a nivel de cliente.
Eso debería cambiar. Si bien el portal cautivo no desaparecerá, sigue siendo la única forma práctica de autenticar a los invitados en una red WiFi compartida. Pero la experiencia que lo rodea podría diseñarse mejor. La detección debe ser automática. El cliente VPN debe saber cuándo salir y cuándo regresar. El usuario no tiene que pensar en ello.
Lo que hemos enviado es un método. Habrá otros. Lo que no debería continuar es tratar el portal cautivo como algo con lo que los usuarios deben trabajar, cuando en realidad es el punto más consistente en el que sus dispositivos están más expuestos y menos informados.
Vasyl Ivanov es el fundador y director ejecutivo de KeepSolid, la empresa detrás de VPN Unlimited, donde pasó trece años creando productos de privacidad y seguridad que prestan servicio a más de 60 millones de usuarios en todo el mundo. VPN Unlimited abarca Windows, macOS, Linux, iOS, Android y extensiones de navegador con una pila multiprotocolo que incluye transportes estándar WireGuard, OpenVPN e IKEV2, incluidos KeySolid Wise, Viles e Hysteria2.





