Fuga de WebRTC: Cómo expone tu dirección IP real
Tu VPN está activada. El nodo de salida indica que te encuentras en Zúrich. Tu billetera parece anónima. Sin embargo, una función integrada en tu navegador revela discretamente a un sitio web tu verdadera dirección IP , la que está asociada a tu domicilio y a tu nombre. Esta función es WebRTC, y la vulnerabilidad que crea se conoce como fuga de WebRTC.
Para la mayoría de la gente, esto supone una molestia en materia de privacidad. Para quienes poseen criptomonedas, es el primer eslabón de una cadena que termina con un desconocido sabiendo a qué persona pertenece cada monedero. Esta guía explica el resto de esa cadena: qué es una fuga de WebRTC, cómo se cuela en una VPN, cómo detectarla y cómo bloquearla en cualquier navegador. Y por qué cobra mucha más importancia en el momento en que tu navegador accede a tu monedero.
Qué es una fuga de WebRTC y por qué ocurre
WebRTC significa Comunicación Web en Tiempo Real. En pocas palabras, es la infraestructura que permite a los navegadores realizar videollamadas, chats de voz y transferencias de archivos sin necesidad de complementos, y viene incluida en todos los navegadores principales desde aproximadamente 2011. Aquí viene el problema: para conectar a dos personas directamente, cada una debe conocer la IP de la otra. Esto no es un error; es parte esencial del proceso.
El problema es que cualquier sitio web puede activarlo. Una página abre una conexión WebRTC en segundo plano y lee las direcciones IP que proporciona tu navegador. No requiere permiso ni deja ninguna marca visible. Si lo haces detrás de una VPN, verás que tu dirección IP real aparece igualmente, y tendrás una fuga de WebRTC. Nada de esto es nuevo. El desarrollador Daniel Roesler publicó una prueba de concepto funcional en enero de 2015, extrayendo direcciones IP reales directamente de los navegadores de los usuarios de VPN. Diez años después, el mecanismo apenas ha cambiado.
Lo peor de todo es su sigilo. No hay ventanas emergentes. No hay solicitud de permisos. No aparece nada en la barra de direcciones. La solicitud nunca aparece en el registro de red que una persona normal revisaría, y los bloqueadores de anuncios la ignoran, porque para el navegador parece una configuración WebRTC normal, no un rastreador. Así que puedes usar una VPN de pago, un navegador limpio y un bloqueador de anuncios a la vez, y aun así proporcionar tu dirección IP real a la primera página que la solicite. Invisible y rutinario: esa es precisamente la razón por la que esta filtración ha sobrevivido diez años.
Cómo funciona la fuga: STUN, NAT y su IP
Para comprender por qué una VPN no te protege automáticamente de una fuga de WebRTC, es útil ver qué hace realmente el navegador internamente.
Aturdimiento y hielo, el mecanismo
La mayoría de los dispositivos se encuentran detrás de un enrutador que realiza NAT (Traducción de Direcciones de Red), por lo que su computadora desconoce su propia dirección IP pública. Para encontrarla, WebRTC utiliza un servidor auxiliar llamado servidor STUN. El navegador le hace una pregunta sencilla al servidor STUN: "¿Desde dónde se encuentra, qué dirección IP ve que estoy intentando conectarme?". El servidor responde con su IP pública. WebRTC recopila varias de estas respuestas, llamadas candidatos ICE, y las lista para que un par pueda elegir una ruta. Un sitio web espía simplemente lee esa lista. Fin del juego.
¿Por qué es importante? Porque todo el intercambio STUN se ejecuta en JavaScript, que cualquier página puede iniciar. No hay cuadro de diálogo, como ocurre con la cámara o la ubicación. El script abre una conexión peer-to-peer. Recoge los candidatos ICE que produce el navegador. Lee las direcciones de la lista. Todo en una fracción de segundo, y el navegador no detectó ningún problema. Simplemente hizo lo que WebRTC pretendía.
IP pública frente a IP local
WebRTC puede proporcionar dos direcciones distintas, y cada una revela información diferente. Tu dirección IP pública indica tu ubicación aproximada y tu proveedor de internet. Tu IP local —algo como 192.168.1.7— simplemente mapea la red dentro de tu casa u oficina. Ninguna de las dos debería estar en manos de un sitio web cualquiera. Pero la pública es la que debería preocuparte, porque te conecta con el mundo real: una ciudad, un proveedor y, en última instancia, una puerta.
Por qué una VPN no lo impide
Una VPN redirige tu tráfico habitual. El problema es que una solicitud STUN puede filtrarse fuera de ese túnel, llegar directamente al servidor STUN y regresar con tu IP pública real. Los navegadores corrigieron parcialmente este problema en 2019 y 2020, reemplazando la IP local por un nombre de host mDNS encriptado. Si bien esto ayuda, solo oculta la IP local. La IP pública de STUN aún puede filtrarse. Peor aún, el enmascaramiento suele perderse en el momento en que un sitio web tiene permisos de micrófono o cámara. Por lo tanto, la filtración persiste justo donde la mayoría de la gente cree estar a salvo.
Cómo realizar correctamente una prueba de fugas de WebRTC
La comprobación tarda aproximadamente un minuto y no tienes por qué fiarte de la palabra de nadie.
Comience con la VPN desactivada y anote la IP pública que muestra su conexión. Ahora active la VPN y abra una página de prueba de fugas de WebRTC, por ejemplo, browserleaks.com/webrtc o ipleak.net. Compare. Si la VPN funciona correctamente y no hay fugas de IP, solo debería ver la dirección de la VPN. Si ese número del primer paso aparece en cualquier parte de la página, habrá encontrado la fuga. Para obtener una visión más completa de todo lo que expone su navegador, se aplica la misma lógica a las comprobaciones más amplias que se describen en nuestra guía de BrowserLeaks.
Hay un par de cosas que pueden confundir a la gente al comprobar si hay fugas de WebRTC. Es posible que veas una IP local que parezca una cadena ilegible que termina en .local. No te preocupes; se trata del enmascaramiento mDNS haciendo su trabajo, no de una fuga. La dirección que importa es la pública. Realiza la prueba en el mismo navegador y perfil que usas para cualquier contenido sensible. La configuración y las extensiones no se transfieren entre navegadores. Y vuelve a ejecutar la prueba después de cada actualización del navegador, ya que un parche puede revertir silenciosamente esta configuración.
¿Qué navegadores filtran tu IP y cuáles no?
No todos los navegadores gestionan una fuga de WebRTC de la misma manera, y las diferencias importan debido a la forma en que está dividido el mercado.
| Navegador | Riesgo de fuga de WebRTC | Protección integrada |
|---|---|---|
| Cromo | Alto | No es nativo; necesita una extensión. |
| Firefox | Medio-alto | Filtra la IP pública por defecto, pero es fácil de desactivar. |
| Corajudo | Bajo | Protección mediante huella digital y WebRTC activada por defecto. |
| Navegador Tor | Ninguno | RTCPeerConnection completamente deshabilitado |
Chrome se encuentra en el centro del problema, simplemente por su alcance. En mayo de 2026, controlaba aproximadamente el 70 % del mercado mundial de navegadores y no incluye ninguna opción nativa para evitar que WebRTC revele tu IP. Firefox, con una cuota de mercado de alrededor del 2 %, también filtra la IP pública por defecto, aunque al menos permite desactivar esta función con una sola configuración. Brave es la excepción. Superó los 101 millones de usuarios activos mensuales en septiembre de 2025 y es el único navegador Chromium popular que activa la protección WebRTC de forma predeterminada. ¿Y Tor? Tor evita todo el problema desactivando por completo la conexión entre pares, razón por la cual los investigadores de privacidad siguen recomendándolo a los nuevos usuarios.
Cómo deshabilitar WebRTC y evitar fugas de datos
Hay dos maneras de desactivarlo: eliminar WebRTC por completo o restringir su acceso únicamente a la dirección que elijas. La opción más adecuada dependerá de si realizas videollamadas desde tu navegador. Aquí tienes la explicación práctica, navegador por navegador.
| Navegador | Cómo deshabilitar o limitar | Efecto |
|---|---|---|
| Firefox | about:config, establezca media.peerconnection.enabled en falso. | Deshabilitación total |
| Cromo | Instale el limitador de red WebRTC o el control WebRTC. | Limita la exposición |
| Borde | edge://flags, habilitar "Anonimizar direcciones IP locales" | Parcial |
| Safari | Desarrollar menú, funciones experimentales, limitar WebRTC | Parcial |
Cromo y borde
Chrome es un caso aparte. No hay una opción para desactivarlo en los menús, así que para bloquear WebRTC necesitas una extensión. Google publica la suya propia, WebRTC Network Limiter, que restringe las direcciones de correo electrónico peligrosas sin interrumpir tus llamadas. ¿Quieres algo más drástico? WebRTC Control lo desactiva con un clic. Microsoft Edge usa el mismo motor Chromium, así que esas extensiones también funcionan allí, pero además incluye una útil opción en edge://flags que anonimiza tu IP local.
Firefox
Firefox lo pone fácil. Escribe about:config en la barra de direcciones, ignora la advertencia, busca media.peerconnection.enabled y cámbialo a false. ¡Listo! WebRTC está desactivado. El inconveniente: las videollamadas y llamadas de voz en el navegador se quedan en negro hasta que lo vuelvas a activar.
Safari y Ópera
Safari opta por una configuración más segura por defecto, y puedes ajustar aún más la configuración de WebRTC desde el menú Desarrollador, en la sección de Funciones experimentales. Opera se basa en Chromium, por lo que utiliza las mismas extensiones que funcionan en Chrome.
El uso de una VPN y la compensación
Luego está la opción de la VPN. Si usas una VPN con protección contra fugas genuina, esta redirige el tráfico WebRTC a través de su propio túnel, por lo que el servidor STUN solo ve la dirección de la VPN. Es la opción más limpia, ya que tus llamadas siguen funcionando, y un servidor proxy confiable puede prevenir fugas de IP de la misma manera. El problema radica en la confianza. No todas las VPN hacen esto. Cuando VoidSec probó 70 proveedores de VPN en 2018 , 16 de ellos aún filtraban la IP real a través de WebRTC. Aproximadamente el 23%. Los buenos lo han solucionado desde entonces, pero la lección sigue vigente: prueba, no des nada por sentado. ¿Quieres la solución definitiva? Deshabilita WebRTC por completo. Solo recuerda que esto afecta a todo lo que depende de él.
¿Por qué una filtración de WebRTC amenaza a los poseedores de criptomonedas?
Para un usuario de criptomonedas, una IP expuesta no es una simple cuestión de privacidad. Es la frontera entre su vida digital y su vida física. Y últimamente, esa frontera se ha vuelto peligrosa.
La cadena de ataque de IP a billetera
Las direcciones de blockchain son pseudónimas, no anónimas. Cada transacción que has realizado está a la vista del público. Lo único que impide que te identifique es la falta de una etiqueta: un nombre, una ubicación. Una IP es esa etiqueta. Y los investigadores demostraron que la conexión era práctica hace más de una década. En un estudio de 2014 , Alexandre Biryukov y sus colegas utilizaron un puñado de nodos estratégicamente ubicados para vincular los pseudónimos de Bitcoin con las direcciones IP que transmitieron inicialmente sus transacciones. Una fuga de WebRTC le proporciona a un atacante esa misma conexión de forma gratuita. Si abres un explorador de bloques o un DEX mientras tu IP real está expuesta, una sola página puede vincular la billetera que estás monitoreando con tu hogar y tu proveedor de servicios de internet.
Y el peligro se agrava, porque la filtración no necesita sorprenderte en medio de una transacción. Basta con que se active una sola vez, en cualquier página que ejecute un script malicioso, mientras consultas tu saldo o navegas por un mercado. ¿Y después? La IP se coteja con los registros del proveedor de internet, los perfiles de los intermediarios de datos y una antigua filtración. Tarde o temprano, se descubre un nombre. La billetera siempre fue pública. La filtración simplemente reveló su identidad.
Desde la desanonimización hasta un golpe en la puerta
Antes, esto era una preocupación abstracta. Ya no. Los llamados ataques de llave inglesa, en los que los poseedores son robados o secuestrados para obtener sus claves, aumentaron aproximadamente un 75 % en 2025, con 72 incidentes confirmados y al menos 41 millones de dólares sustraídos, según el seguimiento del sector . El patrón apenas cambia: los atacantes combinan riqueza visible en la cadena de bloques con una identidad fuera de la cadena para vincular a una persona real con una dirección real. Tu dirección IP es una de las formas más claras de confirmar esa segunda parte.
Dale la vuelta a la situación y piensa como el atacante. Ya pueden ver qué monederos contienen dinero real; esa información es pública. Lo que les falta es el mapa que conecta una dirección IP con una puerta de entrada. Una IP reduce la búsqueda de toda internet a una ciudad, un proveedor de servicios de internet (ISP), a menudo un solo barrio. El resto es trabajo de campo. Para un usuario promedio, una filtración como esta no supone ningún problema. Para alguien que maneja siete cifras en la cadena de bloques, es la línea que separa un seudónimo de un objetivo marcado. Esa brecha es la razón por la que los usuarios de criptomonedas deberían reportar una filtración de WebRTC como una cuestión de seguridad, no de privacidad en línea.
Tu IP es un dato personal.
También existe una dimensión legal. En 2016, el Tribunal de Justicia de la Unión Europea dictaminó en el caso Breyer que incluso una dirección IP dinámica se considera dato personal, siempre que alguien pueda utilizarla razonablemente para identificarte. Siguiendo esta lógica, un sitio web que recopila silenciosamente tu IP a través de WebRTC está procesando datos personales sin tu consentimiento. Esto no soluciona el problema, pero demuestra la seriedad con la que los reguladores se toman la información que tu navegador proporciona gratuitamente.
Cierra la fuga antes de que se abra.
Una fuga de WebRTC es silenciosa, no pide permiso y una VPN por sí sola no te protegerá. Así que refuerza tus defensas. Elige un navegador que te proteja por defecto o desactiva WebRTC si no lo hace. Usa una VPN que supere una prueba de fugas para ocultar tu IP. Revísala después de cada actualización. Para quienes mueven fondos, el objetivo es claro y conciso: evita que se establezca el vínculo entre tu billetera y tu IP, porque una vez que existe, no puedes revertirlo. ¿Cuándo fue la última vez que comprobaste qué información filtra realmente tu navegador?
