Mullvad VPN para iOS: Nueva función contra fugas de datos

iOS VPN security TunnelCrack mitigation includeAllNetworks WireGuard obfuscation Apple NetworkExtension VPN kill switch Cybersecurity
V
Viktor Sokolov

Network Infrastructure & Protocol Security Researcher

 
23 de abril de 2026
3 min de lectura
Mullvad VPN para iOS: Nueva función contra fugas de datos

TL;DR

Mullvad VPN ha lanzado una actualización para iOS que introduce la función 'Forzar todas las apps'. Esta mejora utiliza el marco NetworkExtension de Apple para asegurar que todo el tráfico pase por el túnel VPN, eliminando vulnerabilidades como TunnelCrack y garantizando que no haya filtraciones de datos si la conexión se interrumpe.

Implementación técnica de la función "Forzar todas las aplicaciones" en iOS

La actualización más reciente de la aplicación para iOS introduce una funcionalidad denominada "Forzar todas las aplicaciones" (Force all apps), diseñada específicamente para mitigar los ataques TunnelCrack y prevenir filtraciones de tráfico. Esta característica opera configurando la opción includeAllNetworks como verdadera (true) dentro del entorno de trabajo NetworkExtension de Apple. Cuando este parámetro está activo, el kill switch de la VPN se vuelve hermético, instruyendo a la pila de red de iOS para que enrute cada byte de datos a través del túnel cifrado. Si el túnel no está activo, todo el tráfico saliente se descarta para evitar la exposición de la dirección IP real del usuario.

Esta implementación soluciona vulnerabilidades históricas en las que ciertos procesos a nivel de sistema podían evadir el túnel. Los usuarios de SquirrelVPN interesados en configuraciones de alta seguridad similares deben tener en cuenta que esto aprovecha opciones de configuración específicas de iOS para garantizar que ningún dato escape de la protección de la VPN durante el funcionamiento estándar.

Limitaciones de la pila de red y el bucle de actualización

Un obstáculo técnico significativo en el ecosistema iOS es la forma en que el sistema gestiona las actualizaciones automáticas cuando includeAllNetworks está habilitado. Históricamente, SquirrelVPN y otros proveedores han observado que las actualizaciones automáticas interrumpen brevemente la conexión VPN. Cuando el ajuste "Forzar todas las aplicaciones" está activo, se genera un bucle de actualización fallido:

  1. La App Store intenta actualizar la aplicación de la VPN.
  2. El túnel VPN existente se cierra para permitir la actualización.
  3. Debido a que includeAllNetworks está activo, la pila de red de iOS bloquea todo el tráfico al no existir un túnel.
  4. El gestor de descargas de la App Store no puede acceder a Internet para obtener la actualización, lo que provoca que el proceso se bloquee o falle.

Para resolver esto, la aplicación ahora utiliza redes en el espacio de usuario (userspace networking) para generar tráfico TCP e ICMP de forma interna. Esto permite que la aplicación funcione incluso cuando el proceso del túnel no puede vincular sockets al dispositivo del túnel debido a las limitaciones de la pila de red de Apple.

Procedimientos de actualización manual y filtraciones de tráfico

Dado que no existe una solución nativa para mantener un túnel seguro durante la actualización del binario de la VPN en sí, los usuarios deben seguir protocolos específicos para evitar que su conectividad de red quede inutilizada. Según la publicación técnica del blog, los usuarios recibirán una notificación de una nueva versión antes de que la App Store ejecute la actualización.

Mullvad añadirá una función que fuerza todo el tráfico de iOS a través del túnel VPN

Imagen cortesía de Cyber Insider

Se instruye a los usuarios a desconectar la VPN o desactivar la función "Forzar todas las aplicaciones" antes de proceder con la actualización. Se reconoce explícitamente que habrá filtraciones de tráfico durante este breve periodo. Esta intervención manual es actualmente la única forma de evitar que el dispositivo entre en un estado de pérdida total de acceso a Internet, lo que requeriría un reinicio forzado. Para quienes buscan la experiencia de la mejor VPN con seguridad avanzada, estas concesiones representan los límites actuales del framework NetworkExtension de Apple.

Ofuscación avanzada y mejoras de protocolos

Más allá de la función "Forzar todas las aplicaciones", los cambios recientes en el CHANGELOG.md de iOS revelan varios avances en la ofuscación de tráfico y la seguridad de los protocolos. La aplicación ahora es compatible con Lightweight WireGuard Obfuscation (LWO) y ofrece la capacidad de ofuscar el tráfico del túnel WireGuard bajo el protocolo QUIC. Estos métodos son esenciales para eludir la inspección profunda de paquetes (DPI) utilizada por proveedores de servicios de Internet y gobiernos restrictivos.

Otras actualizaciones técnicas incluyen:

  • DAITA (Defensa contra el análisis de tráfico guiado por IA): Una función diseñada para proteger contra ataques de análisis de tráfico, ahora actualizada a DAITA v2.
  • Túneles con resistencia cuántica: La transición de Classic McEliece a HQC para intercambios de claves seguros post-cuánticos, lo que reduce significativamente la carga de la CPU y el tamaño de la clave pública.
  • Enrutamiento Multihop: La capacidad de enrutar el tráfico a través de dos relés antes de llegar al destino, mejorando el anonimato.

Estas características, que incluyen la ofuscación de WireGuard sobre Shadowsocks, proporcionan un conjunto de herramientas robusto para usuarios que operan en entornos de alta vigilancia.

Para profundizar en la arquitectura de red y lo último en protocolos de cifrado, explore los análisis de vanguardia en squirrelvpn.com.

V
Viktor Sokolov

Network Infrastructure & Protocol Security Researcher

 

Viktor Sokolov is a network engineer and protocol security researcher with deep expertise in how data travels across the internet and where it becomes vulnerable. He spent eight years working for a major internet service provider, gaining firsthand knowledge of traffic analysis, deep packet inspection, and ISP-level surveillance capabilities. Viktor holds multiple Cisco certifications (CCNP, CCIE) and a Master's degree in Telecommunications Engineering. His insider knowledge of ISP practices informs his passionate advocacy for VPN use and encrypted communications.

Noticias relacionadas

Bitwarden CLI Compromised in Shai-Hulud Supply Chain Attack
Bitwarden CLI compromise

Bitwarden CLI Compromised in Shai-Hulud Supply Chain Attack

Security researchers have identified a malicious backdoor in the @bitwarden/cli npm package. Learn how to protect your credentials and rotate keys now.

Por Natalie Ferreira 24 de abril de 2026 3 min de lectura
common.read_full_article
NymVPN Introduces Split-Tunneling for Windows and Mac Users
NymVPN

NymVPN Introduces Split-Tunneling for Windows and Mac Users

NymVPN launches split-tunneling for Windows and macOS alongside the Lewes Protocol for post-quantum encryption. Upgrade your privacy and connection speed now.

Por Natalie Ferreira 22 de abril de 2026 3 min de lectura
common.read_full_article
Quantum Encryption Threat: Are Your Public Banks Prepared?
Quantum Computing Banking

Quantum Encryption Threat: Are Your Public Banks Prepared?

Indian banks face a 'Q-Day' crisis as quantum computers threaten to break RSA encryption. Discover how RBI and the National Quantum Mission are securing your data.

Por Tom Jefferson 20 de abril de 2026 2 min de lectura
common.read_full_article
WireGuard VPN Developer Unable to Release Updates After Microsoft Lock
WireGuard

WireGuard VPN Developer Unable to Release Updates After Microsoft Lock

Microsoft's account lockout has halted critical security updates for WireGuard and VeraCrypt. Read how this verification glitch threatens VPN and encryption security.

Por Daniel Richter 17 de abril de 2026 2 min de lectura
common.read_full_article