¿Qué es una fuga WebRTC?

Una fuga WebRTC ocurre cuando la API WebRTC integrada en tu navegador revela tu dirección IP real —local y/o pública— a un sitio web, aunque estés conectado a una VPN. WebRTC usa solicitudes STUN/ICE para establecer conexiones entre pares, y esas solicitudes pueden viajar fuera del túnel VPN, exponiendo la IP que tu VPN debía ocultar.

¿Cómo pruebo una fuga WebRTC?

Abre una herramienta de test de fugas mientras tu VPN está conectada y mira la dirección IP que reporta WebRTC. Si muestra tu IP pública real (la que asignó tu proveedor de internet) en lugar de la IP de tu VPN, tienes una fuga. Puedes ejecutar nuestro test de fuga de IP y WebRTC en el navegador, que comprueba tu IP, tu DNS y tu exposición WebRTC sin registrar nada.

¿Cómo corrijo una fuga WebRTC?

Puedes desactivar WebRTC por completo (Firefox: poner media.peerconnection.enabled en false en about:config), restringirlo (Brave tiene una 'política de gestión de IP de WebRTC' que puedes configurar en 'disable non-proxied UDP'), o usar una extensión como uBlock Origin con su opción 'Evitar que WebRTC filtre las direcciones IP locales'. También puedes elegir una VPN que incluya protección contra fugas WebRTC. Vuelve a probar siempre después para confirmar que la solución funciona.

¿Desactivar WebRTC rompe algo?

Sí, ese es el compromiso honesto. Desactivar WebRTC puede romper las llamadas de audio y vídeo en el navegador que dependen de él, como Google Meet, Discord en su versión web u otras herramientas de videoconferencia. Si las necesitas, restringe WebRTC en lugar de desactivarlo del todo, o usa un perfil de navegador aparte para las llamadas.

¿Una fuga WebRTC es un problema de seguridad grave?

Depende de tu modelo de amenaza. Para quien simplemente no quiere que los sitios o las redes publicitarias vean su IP real detrás de una VPN, anula el propósito de usar la VPN. Para un usuario común en su Wi-Fi de casa, el riesgo práctico es menor. En cualquier caso, es un comportamiento bien documentado, no una falla exótica, y es fácil de probar y corregir.

¿Puedo tener una fuga WebRTC sin VPN?

Sin VPN, tu IP real ya es visible para los sitios que visitas, así que 'fuga' no es la palabra adecuada: no se está ocultando nada. Las fugas WebRTC importan específicamente cuando usas una VPN (o un proxy) y esperas que tu IP real esté oculta, pero WebRTC la revela igualmente.

Test de fuga WebRTC: cómo comprobar (y corregir) la falla que expone tu IP real

Q: ¿Una VPN protege contra las fugas WebRTC?

No automáticamente. Una VPN cifra y reenruta tu tráfico, pero las solicitudes WebRTC pueden eludir el túnel según el navegador y el sistema operativo. Algunas apps de VPN incluyen protección contra fugas WebRTC; muchas no. La única forma de saberlo es probar: conecta tu VPN, ejecuta un test de fuga y compara la IP que reporta WebRTC con la IP de salida de tu VPN.

Q: ¿Qué navegadores se ven afectados por las fugas WebRTC?

Todos los navegadores principales admiten WebRTC y pueden filtrar en distinto grado: Chrome, Firefox, Edge, Brave y Safari. La gravedad y las soluciones disponibles varían según el navegador. WebRTC está activado por defecto en la mayoría de los navegadores modernos porque las llamadas de audio/vídeo en tiempo real dependen de él.

Te conectas a una VPN, la app dice «protegido» y das por hecho que tu dirección IP real está oculta. Para la mayor parte de tu tráfico, lo está. Pero hay una excepción discreta, integrada en tu navegador, que puede entregar tu IP real directamente a cualquier sitio que visites — y tu VPN no te avisará.

Esa excepción es WebRTC. Es una tecnología de navegador diseñada para audio y vídeo en tiempo real, y funciona tan bien que está activada por defecto casi en todas partes. El mismo mecanismo que te permite hacer una videollamada sin instalar nada también puede revelar la dirección IP que tu VPN debía enmascarar.

Esta guía explica qué es realmente una fuga WebRTC, por qué se escapa del túnel VPN, cómo probarla en menos de un minuto y cómo corregirla en cada navegador principal — incluyendo, en cada caso, la contrapartida honesta de la solución.

Qué es WebRTC — y por qué puede revelar tu IP

WebRTC (Web Real-Time Communication) es una API integrada en los navegadores modernos que permite a las páginas web intercambiar audio, vídeo y datos directamente entre usuarios, de par a par, sin complementos. Es lo que hace funcionar las videollamadas en el navegador, el chat de voz y algunas herramientas para compartir archivos.

Para conectar a dos personas que están ambas detrás de un router doméstico, WebRTC necesita descubrir la dirección pública en la que se puede contactar a cada dispositivo. Para ello se apoya en servidores STUN y en el marco ICE (Interactive Connectivity Establishment). En lenguaje claro: tu navegador le pregunta a un servidor STUN «¿cómo se ve mi dirección desde fuera?», y la respuesta vuelve con tu IP.

Aquí está la trampa. Ese descubrimiento STUN/ICE puede enumerar todas las direcciones de red que tu dispositivo conoce —incluida tu IP local y, sobre todo, tu IP pública real— y puede hacerlo por una ruta que elude el túnel VPN. La VPN reenruta tu tráfico normal, pero la solicitud WebRTC puede hacerle un cortocircuito, de modo que la IP que reporta es la que tu VPN debía ocultar. El sitio nunca tuvo que pedirle permiso a tu VPN: fue el navegador quien entregó la información por sí mismo.

Esto no es un fallo de ninguna VPN en concreto. Es una consecuencia de cómo se diseñó WebRTC para encontrar la ruta más directa entre pares — y esas rutas directas son exactamente lo que una VPN intenta evitar.

Qué navegadores se ven afectados

WebRTC está activado por defecto en la mayoría de los navegadores modernos porque las llamadas en tiempo real dependen de él. El riesgo de fuga existe, por tanto, en todos:

Chrome — WebRTC activado por defecto; se controla sobre todo mediante extensiones o políticas.
Firefox — WebRTC activado por defecto, pero expone un interruptor directo en about:config.
Edge — basado en Chromium, se comporta como Chrome.
Brave — basado en Chromium pero incluye un ajuste dedicado de gestión de IP de WebRTC en sus opciones de privacidad.
Safari — admite WebRTC; su comportamiento y sus controles difieren de la familia Chromium.

La gravedad y las soluciones disponibles varían según el navegador, por eso probar tu propia configuración importa más que suponer «mi navegador está bien».

Un pasillo de sala de servidores con armarios de red a los lados — el tipo de infraestructura en la que corren los servidores STUN que descubren la dirección de tu dispositivo

Cómo probar una fuga WebRTC

Probar es la única forma de conocer tu exposición real, y lleva menos de un minuto:

Conéctate a tu VPN y confirma que la app indica que estás protegido. Anota la IP de salida que tu VPN afirma estar usando (la mayoría de las apps de VPN la muestran).
Ejecuta un test de fuga. Lo más rápido es nuestro propio test de fuga de IP y WebRTC — se ejecuta por completo en tu navegador y muestra lo que tu IP, tu DNS y WebRTC están exponiendo realmente, sin registrar nada.
Compara las IP. Mira la dirección IP que reporta WebRTC. Si coincide con la IP de salida de tu VPN, todo bien. Si muestra tu IP pública real (la de tu proveedor), o si tu IP real aparece junto a la IP de la VPN, eso es una fuga.

Una comprobación sencilla: anota primero tu IP real con la VPN apagada, luego enciéndela y vuelve a probar. Si WebRTC sigue mostrando esa misma IP real, el túnel se está eludiendo.

Cómo corregir una fuga WebRTC

Hay tres soluciones honestas, y la adecuada depende de si alguna vez haces llamadas en el navegador.

Desactivar WebRTC por completo (Firefox)

Firefox es el caso más sencillo porque ofrece un interruptor directo:

Escribe about:config en la barra de direcciones y acepta la advertencia.
Busca media.peerconnection.enabled.
Ponlo en false.

WebRTC queda desactivado en ese navegador. Es la solución más completa — pero romperá cualquier sitio que dependa de WebRTC para las llamadas (ver la contrapartida más abajo).

Restringir WebRTC en vez de eliminarlo (Brave)

Brave te permite mantener WebRTC funcional impidiendo a la vez que filtre. En los ajustes de Brave, en privacidad/seguridad, configura la política de gestión de IP de WebRTC en «disable non-proxied UDP». Esto obliga a WebRTC a pasar por tu ruta de proxy/VPN en lugar de tomar un atajo UDP directo, de modo que no puede exponer tu IP real detrás de la VPN.

Usar una extensión (Chrome, Edge y otros)

Los navegadores Chromium como Chrome y Edge no exponen un ajuste nativo, así que la solución práctica es una extensión. uBlock Origin incluye en sus ajustes una opción llamada «Evitar que WebRTC filtre las direcciones IP locales» — actívala. También hay extensiones específicas que controlan WebRTC, pero usar una herramienta en la que ya confías (como uBlock Origin) mantiene reducido el número de extensiones.

Elegir una VPN que se encargue por ti

Algunas apps de VPN incluyen protección contra fugas WebRTC, que impone el túnel a nivel de sistema o de app en lugar de depender de los ajustes del navegador. Si no quieres trastear con about:config ni con extensiones, una VPN con protección auditada es la opción que menos esfuerzo requiere. Sea cual sea tu elección, vuelve a ejecutar el test de fuga después — una protección que no has verificado es solo una esperanza.

La contrapartida honesta

Desactivar WebRTC no sale gratis. WebRTC es la tecnología detrás de las llamadas en el navegador, así que apagarlo puede romper herramientas como Google Meet, Discord en su versión web y otras apps de videoconferencia. Ese es el coste real, y conviene decirlo con claridad.

Si dependes de las llamadas en el navegador, tienes dos opciones razonables: restringir WebRTC (el enfoque «disable non-proxied UDP» al estilo Brave, que mantiene las llamadas funcionando mientras las enruta por tu VPN), o mantener un perfil de navegador aparte con WebRTC activado que uses solo para las llamadas, mientras tu navegación diaria corre en un perfil reforzado con WebRTC desactivado. En ambos casos el objetivo es el mismo: detener la fuga sin perder las funciones que de verdad usas.

Después de corregirlo: verifica, no supongas

El hábito más importante es volver a probar después de cada cambio. Una actualización del navegador, un perfil nuevo, una extensión reinstalada o un servidor VPN distinto pueden cambiar tu exposición. Conecta la VPN, abre un test de fuga y confirma que WebRTC reporta la IP de la VPN — no la tuya.

Si quieres profundizar en las fugas relacionadas que vencen a una VPN, la fuga de DNS es la otra grande: tu tráfico pasa por el túnel pero tus consultas DNS, en silencio, no. Se aplica la misma disciplina de pruebas.

Sigue adelante: detén las fugas que vencen a tu VPN

Este artículo explica comportamientos de navegador documentados y verificables (about:config de Firefox, política de gestión de IP de WebRTC de Brave, opción anti-fuga de uBlock Origin). Los ajustes y la ubicación de los menús cambian de una versión a otra — verifica el nombre exacto de las opciones en tu navegador. VPNSmith publica este contenido con fines educativos.

Un VPN sin registros, auditado de forma independiente → Proton VPNPrivacidad suiza · apps open-source · plan gratis→