Mullvad VPN para iOS: Nueva función contra fugas de datos

iOS VPN security TunnelCrack mitigation includeAllNetworks WireGuard obfuscation Apple NetworkExtension VPN kill switch Cybersecurity
V
Viktor Sokolov

Network Infrastructure & Protocol Security Researcher

 
23 de abril de 2026
3 min de lectura
Mullvad VPN para iOS: Nueva función contra fugas de datos

TL;DR

Mullvad VPN ha lanzado una actualización para iOS que introduce la función 'Forzar todas las apps'. Esta mejora utiliza el marco NetworkExtension de Apple para asegurar que todo el tráfico pase por el túnel VPN, eliminando vulnerabilidades como TunnelCrack y garantizando que no haya filtraciones de datos si la conexión se interrumpe.

Implementación técnica de la función "Forzar todas las aplicaciones" en iOS

La actualización más reciente de la aplicación para iOS introduce una funcionalidad denominada "Forzar todas las aplicaciones" (Force all apps), diseñada específicamente para mitigar los ataques TunnelCrack y prevenir filtraciones de tráfico. Esta característica opera configurando la opción includeAllNetworks como verdadera (true) dentro del entorno de trabajo NetworkExtension de Apple. Cuando este parámetro está activo, el kill switch de la VPN se vuelve hermético, instruyendo a la pila de red de iOS para que enrute cada byte de datos a través del túnel cifrado. Si el túnel no está activo, todo el tráfico saliente se descarta para evitar la exposición de la dirección IP real del usuario.

Esta implementación soluciona vulnerabilidades históricas en las que ciertos procesos a nivel de sistema podían evadir el túnel. Los usuarios de SquirrelVPN interesados en configuraciones de alta seguridad similares deben tener en cuenta que esto aprovecha opciones de configuración específicas de iOS para garantizar que ningún dato escape de la protección de la VPN durante el funcionamiento estándar.

Limitaciones de la pila de red y el bucle de actualización

Un obstáculo técnico significativo en el ecosistema iOS es la forma en que el sistema gestiona las actualizaciones automáticas cuando includeAllNetworks está habilitado. Históricamente, SquirrelVPN y otros proveedores han observado que las actualizaciones automáticas interrumpen brevemente la conexión VPN. Cuando el ajuste "Forzar todas las aplicaciones" está activo, se genera un bucle de actualización fallido:

  1. La App Store intenta actualizar la aplicación de la VPN.
  2. El túnel VPN existente se cierra para permitir la actualización.
  3. Debido a que includeAllNetworks está activo, la pila de red de iOS bloquea todo el tráfico al no existir un túnel.
  4. El gestor de descargas de la App Store no puede acceder a Internet para obtener la actualización, lo que provoca que el proceso se bloquee o falle.

Para resolver esto, la aplicación ahora utiliza redes en el espacio de usuario (userspace networking) para generar tráfico TCP e ICMP de forma interna. Esto permite que la aplicación funcione incluso cuando el proceso del túnel no puede vincular sockets al dispositivo del túnel debido a las limitaciones de la pila de red de Apple.

Procedimientos de actualización manual y filtraciones de tráfico

Dado que no existe una solución nativa para mantener un túnel seguro durante la actualización del binario de la VPN en sí, los usuarios deben seguir protocolos específicos para evitar que su conectividad de red quede inutilizada. Según la publicación técnica del blog, los usuarios recibirán una notificación de una nueva versión antes de que la App Store ejecute la actualización.

Mullvad añadirá una función que fuerza todo el tráfico de iOS a través del túnel VPN

Imagen cortesía de Cyber Insider

Se instruye a los usuarios a desconectar la VPN o desactivar la función "Forzar todas las aplicaciones" antes de proceder con la actualización. Se reconoce explícitamente que habrá filtraciones de tráfico durante este breve periodo. Esta intervención manual es actualmente la única forma de evitar que el dispositivo entre en un estado de pérdida total de acceso a Internet, lo que requeriría un reinicio forzado. Para quienes buscan la experiencia de la mejor VPN con seguridad avanzada, estas concesiones representan los límites actuales del framework NetworkExtension de Apple.

Ofuscación avanzada y mejoras de protocolos

Más allá de la función "Forzar todas las aplicaciones", los cambios recientes en el CHANGELOG.md de iOS revelan varios avances en la ofuscación de tráfico y la seguridad de los protocolos. La aplicación ahora es compatible con Lightweight WireGuard Obfuscation (LWO) y ofrece la capacidad de ofuscar el tráfico del túnel WireGuard bajo el protocolo QUIC. Estos métodos son esenciales para eludir la inspección profunda de paquetes (DPI) utilizada por proveedores de servicios de Internet y gobiernos restrictivos.

Otras actualizaciones técnicas incluyen:

  • DAITA (Defensa contra el análisis de tráfico guiado por IA): Una función diseñada para proteger contra ataques de análisis de tráfico, ahora actualizada a DAITA v2.
  • Túneles con resistencia cuántica: La transición de Classic McEliece a HQC para intercambios de claves seguros post-cuánticos, lo que reduce significativamente la carga de la CPU y el tamaño de la clave pública.
  • Enrutamiento Multihop: La capacidad de enrutar el tráfico a través de dos relés antes de llegar al destino, mejorando el anonimato.

Estas características, que incluyen la ofuscación de WireGuard sobre Shadowsocks, proporcionan un conjunto de herramientas robusto para usuarios que operan en entornos de alta vigilancia.

Para profundizar en la arquitectura de red y lo último en protocolos de cifrado, explore los análisis de vanguardia en squirrelvpn.com.

V
Viktor Sokolov

Network Infrastructure & Protocol Security Researcher

 

Viktor Sokolov is a network engineer and protocol security researcher with deep expertise in how data travels across the internet and where it becomes vulnerable. He spent eight years working for a major internet service provider, gaining firsthand knowledge of traffic analysis, deep packet inspection, and ISP-level surveillance capabilities. Viktor holds multiple Cisco certifications (CCNP, CCIE) and a Master's degree in Telecommunications Engineering. His insider knowledge of ISP practices informs his passionate advocacy for VPN use and encrypted communications.

Noticias relacionadas

FortiBleed Data Leak Exposes 74,000 Fortinet Firewall Credentials in Active Enterprise Network Attacks
FortiBleed

FortiBleed Data Leak Exposes 74,000 Fortinet Firewall Credentials in Active Enterprise Network Attacks

FortiBleed exposes 74,000+ Fortinet VPN credentials. Learn how hackers used GPU-cracking rigs to breach enterprise networks and what you must do to secure your systems.

Por Viktor Sokolov 24 de junio de 2026 4 min de lectura
common.read_full_article
FortiBleed Vulnerability Exposes 75,000 Fortinet Firewalls to Active Exploitation in Global Enterprise Networks
FortiBleed vulnerability

FortiBleed Vulnerability Exposes 75,000 Fortinet Firewalls to Active Exploitation in Global Enterprise Networks

Discover how the FortiBleed campaign exploits exposed Fortinet firewalls. Learn why patching isn't enough to stop these active credential-stuffing attacks.

Por Elena Voss 23 de junio de 2026 6 min de lectura
common.read_full_article
AI-Driven Identity Attacks and Advanced Phishing Campaigns Surge in 2026 Threat Landscape Report
AI-driven identity attacks

AI-Driven Identity Attacks and Advanced Phishing Campaigns Surge in 2026 Threat Landscape Report

Identity is the new perimeter. Discover how AI-driven phishing, agentic AI risks, and shadow operations are reshaping the 2026 cybersecurity threat landscape.

Por James Okoro 22 de junio de 2026 5 min de lectura
common.read_full_article
Check Point Issues Urgent Warning Over Actively Exploited VPN Zero-Day Linked to Qilin Ransomware
Check Point VPN zero-day

Check Point Issues Urgent Warning Over Actively Exploited VPN Zero-Day Linked to Qilin Ransomware

Check Point issues urgent warning as Qilin ransomware exploits a zero-day VPN vulnerability. Learn how to secure your enterprise network against this active threat.

Por Marcus Chen 18 de junio de 2026 5 min de lectura
common.read_full_article