Mullvad VPN para iOS: Nueva función contra fugas de datos

iOS VPN security TunnelCrack mitigation includeAllNetworks WireGuard obfuscation Apple NetworkExtension VPN kill switch Cybersecurity
V
Viktor Sokolov

Network Infrastructure & Protocol Security Researcher

 
23 de abril de 2026
3 min de lectura
Mullvad VPN para iOS: Nueva función contra fugas de datos

TL;DR

Mullvad VPN actualizó su app de iOS con la función 'Forzar todas las apps', que utiliza el framework de Apple para asegurar que todo el tráfico de red pase exclusivamente por el túnel VPN, eliminando vulnerabilidades como TunnelCrack y protegiendo la IP real del usuario.

Implementación técnica de "Force All Apps" en iOS

La actualización más reciente de la aplicación para iOS introduce una función denominada "Force all apps" (Forzar todas las aplicaciones), diseñada para mitigar los ataques TunnelCrack y prevenir filtraciones de tráfico. Esta característica funciona mediante la activación de la opción de configuración includeAllNetworks dentro del framework NetworkExtension de Apple. Cuando este parámetro está activo, el kill switch de la VPN se vuelve impenetrable, ordenando a la pila de red de iOS que encamine cada byte de datos a través del túnel cifrado. Si el túnel no está activo, todo el tráfico de salida se interrumpe para evitar la exposición de la dirección IP real del usuario.

Esta implementación soluciona vulnerabilidades históricas en las que ciertos procesos a nivel de sistema podían evadir el túnel. Los usuarios de SquirrelVPN interesados en configuraciones de alta seguridad similares deben tener en cuenta que esto aprovecha opciones de configuración de iOS específicas para garantizar que ningún dato escape de la protección de la VPN durante el funcionamiento estándar.

Limitaciones de la pila de red y el bucle de actualización

Un obstáculo técnico significativo en el ecosistema iOS es la forma en que el sistema gestiona las actualizaciones automáticas cuando includeAllNetworks está habilitado. Históricamente, SquirrelVPN y otros proveedores han observado que las actualizaciones automáticas interrumpen brevemente la conexión VPN. Cuando el ajuste "Force all apps" está activo, se genera un bucle de actualización fallido:

  1. La App Store intenta actualizar la aplicación de la VPN.
  2. El túnel VPN existente se cierra para permitir la actualización.
  3. Debido a que includeAllNetworks está activo, la pila de red de iOS bloquea todo el tráfico al no existir un túnel.
  4. El gestor de descargas de la App Store no puede acceder a internet para obtener la actualización, lo que provoca que el proceso se congele o falle.

Para resolver esto, la aplicación ahora utiliza redes en el espacio de usuario (userspace networking) para generar tráfico TCP e ICMP de forma interna. Esto permite que la app funcione incluso cuando el proceso del túnel no puede vincular sockets al dispositivo del túnel debido a las limitaciones de la pila de red de Apple.

Procedimientos de actualización manual y filtraciones de tráfico

Dado que no existe una solución nativa para mantener un túnel seguro durante la actualización del binario de la VPN, los usuarios deben seguir protocolos específicos para evitar que su conectividad de red quede inutilizada. Según la publicación técnica del blog, los usuarios recibirán una notificación de una nueva versión antes de que la App Store inicie la actualización.

Mullvad añadirá una función que fuerza todo el tráfico de iOS a través del túnel VPN

Imagen cortesía de Cyber Insider

Se instruye a los usuarios a desconectar la VPN o desactivar la función "Force all apps" antes de proceder con la actualización. Se reconoce explícitamente que habrá filtración de tráfico durante este breve lapso. Esta intervención manual es actualmente la única forma de evitar que el dispositivo entre en un estado de pérdida total de acceso a internet, lo que requeriría un reinicio forzado. Para quienes buscan la experiencia de la mejor VPN con seguridad avanzada, estas concesiones representan los límites actuales del framework NetworkExtension de Apple.

Ofuscación avanzada y mejoras de protocolo

Más allá de la función "Force all apps", los cambios recientes en el archivo iOS CHANGELOG.md revelan varios avances en la ofuscación de tráfico y la seguridad de los protocolos. La aplicación ahora es compatible con Lightweight WireGuard Obfuscation (LWO) y posee la capacidad de ofuscar el tráfico del túnel WireGuard bajo el protocolo QUIC. Estos métodos son esenciales para eludir la inspección profunda de paquetes (DPI) utilizada por proveedores de internet y gobiernos restrictivos.

Otras actualizaciones técnicas incluyen:

  • DAITA (Defence against AI-guided Traffic Analysis): Una función diseñada para proteger contra ataques de análisis de tráfico, ahora actualizada a DAITA v2.
  • Túneles con resistencia cuántica: La transición de Classic McEliece a HQC para intercambios de claves seguros post-cuánticos, lo que reduce significativamente la carga del CPU y el tamaño de la clave pública.
  • Enrutamiento Multihop: La capacidad de enrutar el tráfico a través de dos servidores intermedios (relays) antes de llegar al destino, potenciando el anonimato.

Estas características, que incluyen la ofuscación de WireGuard sobre Shadowsocks, proporcionan un conjunto de herramientas robusto para usuarios que operan en entornos de alta vigilancia.

Para profundizar en la arquitectura de red y lo último en protocolos de cifrado, explore los análisis de vanguardia en squirrelvpn.com.

V
Viktor Sokolov

Network Infrastructure & Protocol Security Researcher

 

Viktor Sokolov is a network engineer and protocol security researcher with deep expertise in how data travels across the internet and where it becomes vulnerable. He spent eight years working for a major internet service provider, gaining firsthand knowledge of traffic analysis, deep packet inspection, and ISP-level surveillance capabilities. Viktor holds multiple Cisco certifications (CCNP, CCIE) and a Master's degree in Telecommunications Engineering. His insider knowledge of ISP practices informs his passionate advocacy for VPN use and encrypted communications.

Noticias relacionadas

FortiBleed Data Leak Exposes 74,000 Fortinet Firewall Credentials in Active Enterprise Network Attacks
FortiBleed

FortiBleed Data Leak Exposes 74,000 Fortinet Firewall Credentials in Active Enterprise Network Attacks

FortiBleed exposes 74,000+ Fortinet VPN credentials. Learn how hackers used GPU-cracking rigs to breach enterprise networks and what you must do to secure your systems.

Por Viktor Sokolov 24 de junio de 2026 4 min de lectura
common.read_full_article
FortiBleed Vulnerability Exposes 75,000 Fortinet Firewalls to Active Exploitation in Global Enterprise Networks
FortiBleed vulnerability

FortiBleed Vulnerability Exposes 75,000 Fortinet Firewalls to Active Exploitation in Global Enterprise Networks

Discover how the FortiBleed campaign exploits exposed Fortinet firewalls. Learn why patching isn't enough to stop these active credential-stuffing attacks.

Por Elena Voss 23 de junio de 2026 6 min de lectura
common.read_full_article
AI-Driven Identity Attacks and Advanced Phishing Campaigns Surge in 2026 Threat Landscape Report
AI-driven identity attacks

AI-Driven Identity Attacks and Advanced Phishing Campaigns Surge in 2026 Threat Landscape Report

Identity is the new perimeter. Discover how AI-driven phishing, agentic AI risks, and shadow operations are reshaping the 2026 cybersecurity threat landscape.

Por James Okoro 22 de junio de 2026 5 min de lectura
common.read_full_article
Check Point Issues Urgent Warning Over Actively Exploited VPN Zero-Day Linked to Qilin Ransomware
Check Point VPN zero-day

Check Point Issues Urgent Warning Over Actively Exploited VPN Zero-Day Linked to Qilin Ransomware

Check Point issues urgent warning as Qilin ransomware exploits a zero-day VPN vulnerability. Learn how to secure your enterprise network against this active threat.

Por Marcus Chen 18 de junio de 2026 5 min de lectura
common.read_full_article