Mullvad VPN para iOS: Nueva función contra fugas de datos

iOS VPN security TunnelCrack mitigation includeAllNetworks WireGuard obfuscation Apple NetworkExtension VPN kill switch Cybersecurity
V
Viktor Sokolov

Network Infrastructure & Protocol Security Researcher

 
23 de abril de 2026
3 min de lectura
Mullvad VPN para iOS: Nueva función contra fugas de datos

TL;DR

Mullvad VPN actualizó su app de iOS con la función 'Forzar todas las apps', que utiliza el framework de Apple para asegurar que todo el tráfico de red pase exclusivamente por el túnel VPN, eliminando vulnerabilidades como TunnelCrack y protegiendo la IP real del usuario.

Implementación técnica de "Force All Apps" en iOS

La actualización más reciente de la aplicación para iOS introduce una función denominada "Force all apps" (Forzar todas las aplicaciones), diseñada para mitigar los ataques TunnelCrack y prevenir filtraciones de tráfico. Esta característica funciona mediante la activación de la opción de configuración includeAllNetworks dentro del framework NetworkExtension de Apple. Cuando este parámetro está activo, el kill switch de la VPN se vuelve impenetrable, ordenando a la pila de red de iOS que encamine cada byte de datos a través del túnel cifrado. Si el túnel no está activo, todo el tráfico de salida se interrumpe para evitar la exposición de la dirección IP real del usuario.

Esta implementación soluciona vulnerabilidades históricas en las que ciertos procesos a nivel de sistema podían evadir el túnel. Los usuarios de SquirrelVPN interesados en configuraciones de alta seguridad similares deben tener en cuenta que esto aprovecha opciones de configuración de iOS específicas para garantizar que ningún dato escape de la protección de la VPN durante el funcionamiento estándar.

Limitaciones de la pila de red y el bucle de actualización

Un obstáculo técnico significativo en el ecosistema iOS es la forma en que el sistema gestiona las actualizaciones automáticas cuando includeAllNetworks está habilitado. Históricamente, SquirrelVPN y otros proveedores han observado que las actualizaciones automáticas interrumpen brevemente la conexión VPN. Cuando el ajuste "Force all apps" está activo, se genera un bucle de actualización fallido:

  1. La App Store intenta actualizar la aplicación de la VPN.
  2. El túnel VPN existente se cierra para permitir la actualización.
  3. Debido a que includeAllNetworks está activo, la pila de red de iOS bloquea todo el tráfico al no existir un túnel.
  4. El gestor de descargas de la App Store no puede acceder a internet para obtener la actualización, lo que provoca que el proceso se congele o falle.

Para resolver esto, la aplicación ahora utiliza redes en el espacio de usuario (userspace networking) para generar tráfico TCP e ICMP de forma interna. Esto permite que la app funcione incluso cuando el proceso del túnel no puede vincular sockets al dispositivo del túnel debido a las limitaciones de la pila de red de Apple.

Procedimientos de actualización manual y filtraciones de tráfico

Dado que no existe una solución nativa para mantener un túnel seguro durante la actualización del binario de la VPN, los usuarios deben seguir protocolos específicos para evitar que su conectividad de red quede inutilizada. Según la publicación técnica del blog, los usuarios recibirán una notificación de una nueva versión antes de que la App Store inicie la actualización.

Mullvad añadirá una función que fuerza todo el tráfico de iOS a través del túnel VPN

Imagen cortesía de Cyber Insider

Se instruye a los usuarios a desconectar la VPN o desactivar la función "Force all apps" antes de proceder con la actualización. Se reconoce explícitamente que habrá filtración de tráfico durante este breve lapso. Esta intervención manual es actualmente la única forma de evitar que el dispositivo entre en un estado de pérdida total de acceso a internet, lo que requeriría un reinicio forzado. Para quienes buscan la experiencia de la mejor VPN con seguridad avanzada, estas concesiones representan los límites actuales del framework NetworkExtension de Apple.

Ofuscación avanzada y mejoras de protocolo

Más allá de la función "Force all apps", los cambios recientes en el archivo iOS CHANGELOG.md revelan varios avances en la ofuscación de tráfico y la seguridad de los protocolos. La aplicación ahora es compatible con Lightweight WireGuard Obfuscation (LWO) y posee la capacidad de ofuscar el tráfico del túnel WireGuard bajo el protocolo QUIC. Estos métodos son esenciales para eludir la inspección profunda de paquetes (DPI) utilizada por proveedores de internet y gobiernos restrictivos.

Otras actualizaciones técnicas incluyen:

  • DAITA (Defence against AI-guided Traffic Analysis): Una función diseñada para proteger contra ataques de análisis de tráfico, ahora actualizada a DAITA v2.
  • Túneles con resistencia cuántica: La transición de Classic McEliece a HQC para intercambios de claves seguros post-cuánticos, lo que reduce significativamente la carga del CPU y el tamaño de la clave pública.
  • Enrutamiento Multihop: La capacidad de enrutar el tráfico a través de dos servidores intermedios (relays) antes de llegar al destino, potenciando el anonimato.

Estas características, que incluyen la ofuscación de WireGuard sobre Shadowsocks, proporcionan un conjunto de herramientas robusto para usuarios que operan en entornos de alta vigilancia.

Para profundizar en la arquitectura de red y lo último en protocolos de cifrado, explore los análisis de vanguardia en squirrelvpn.com.

V
Viktor Sokolov

Network Infrastructure & Protocol Security Researcher

 

Viktor Sokolov is a network engineer and protocol security researcher with deep expertise in how data travels across the internet and where it becomes vulnerable. He spent eight years working for a major internet service provider, gaining firsthand knowledge of traffic analysis, deep packet inspection, and ISP-level surveillance capabilities. Viktor holds multiple Cisco certifications (CCNP, CCIE) and a Master's degree in Telecommunications Engineering. His insider knowledge of ISP practices informs his passionate advocacy for VPN use and encrypted communications.

Noticias relacionadas

NymVPN Introduces Split-Tunneling for Windows and Mac Users
NymVPN

NymVPN Introduces Split-Tunneling for Windows and Mac Users

NymVPN launches split-tunneling for Windows and macOS alongside the Lewes Protocol for post-quantum encryption. Upgrade your privacy and connection speed now.

Por Natalie Ferreira 22 de abril de 2026 3 min de lectura
common.read_full_article
Quantum Encryption Threat: Are Your Public Banks Prepared?
Quantum Computing Banking

Quantum Encryption Threat: Are Your Public Banks Prepared?

Indian banks face a 'Q-Day' crisis as quantum computers threaten to break RSA encryption. Discover how RBI and the National Quantum Mission are securing your data.

Por Tom Jefferson 20 de abril de 2026 2 min de lectura
common.read_full_article
WireGuard VPN Developer Unable to Release Updates After Microsoft Lock
WireGuard

WireGuard VPN Developer Unable to Release Updates After Microsoft Lock

Microsoft's account lockout has halted critical security updates for WireGuard and VeraCrypt. Read how this verification glitch threatens VPN and encryption security.

Por Daniel Richter 17 de abril de 2026 2 min de lectura
common.read_full_article
XRP Ledger Integrates Zero-Knowledge Proofs for Institutional Privacy
XRP Ledger

XRP Ledger Integrates Zero-Knowledge Proofs for Institutional Privacy

XRP Ledger partners with Boundless to launch zero-knowledge proof verification. Secure institutional privacy while maintaining regulatory compliance today.

Por Elena Voss 16 de abril de 2026 3 min de lectura
common.read_full_article