{"id":1023,"date":"2026-04-17T19:08:44","date_gmt":"2026-04-17T19:08:44","guid":{"rendered":"https:\/\/rgonzalez.me\/?p=1023"},"modified":"2026-04-17T22:34:45","modified_gmt":"2026-04-17T22:34:45","slug":"tu-ip-publica-visible-con-una-sola-llamada","status":"publish","type":"post","link":"https:\/\/rgonzalez.me\/index.php\/2026\/04\/17\/tu-ip-publica-visible-con-una-sola-llamada\/","title":{"rendered":"Tu IP p\u00fablica, visible con una sola llamada"},"content":{"rendered":"\n
\n
\n
\n
\n

Una caracter\u00edstica t\u00e9cnica dise\u00f1ada para hacer las comunicaciones m\u00e1s eficientes puede, sin configuraci\u00f3n adecuada, exponer tu direcci\u00f3n IP p\u00fablica a cualquier persona que te llame. Este post explora el mecanismo detr\u00e1s del problema y sus implicaciones reales.<\/p>\n<\/p><\/div>\n

\n

\u00bfQu\u00e9 es WebRTC y por qu\u00e9 importa?<\/h2>\n<\/p><\/div>\n
\n

WebRTC (Web Real-Time Communication<\/em>) es una tecnolog\u00eda de c\u00f3digo abierto integrada en navegadores y aplicaciones modernas que permite transferir audio, v\u00eddeo y datos directamente entre dos dispositivos, sin pasar por un servidor intermediario. Es la raz\u00f3n por la que plataformas como WhatsApp, Meet o Discord pueden ofrecer llamadas de baja latencia sin consumir grandes recursos de infraestructura.<\/p>\n

Para establecer esa conexi\u00f3n directa entre pares (peer-to-peer<\/em>), ambos dispositivos necesitan conocer la direcci\u00f3n IP p\u00fablica del otro. Aqu\u00ed entra en juego el protocolo STUN.<\/p>\n<\/p><\/div>\n

\n
\n

\n\t\t\t\tSTUN (Session Traversal Utilities for NAT) permite a un dispositivo que se encuentra detr\u00e1s de un router o NAT descubrir su propia IP p\u00fablica y el tipo de puerto que est\u00e1 utilizando. Es una pieza esencial en la arquitectura WebRTC.\t\t\t<\/p>\n

\n\t\t\t\t\t\t\t\t\t\t\tProtocolo<\/cite>\n\t\t\t\t\t\t\t\t\t\t\t\t\t\t<\/div>\n<\/blockquote><\/div>\n
\n

El vector de ataque: interceptar la negociaci\u00f3n STUN<\/h2>\n<\/p><\/div>\n
\n

Durante el establecimiento de una llamada WebRTC, el dispositivo del llamante env\u00eda candidatos ICE (Interactive Connectivity Establishment<\/em>) que incluyen, entre otros datos, la IP p\u00fablica del usuario. Este proceso ocurre en el momento en que se acepta la llamada.<\/p>\n

Con una herramienta de an\u00e1lisis de tr\u00e1fico como Wireshark, un atacante puede capturar estos paquetes en su propia interfaz de red y extraer la IP p\u00fablica de la contraparte de forma trivial, sin necesidad de exploits ni vulnerabilidades adicionales.<\/p>\n<\/p><\/div>\n

\n\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\"\"\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t<\/div>\n<\/p><\/div>\n<\/p><\/div>\n
\n
\n
\n

Cabe destacar que este comportamiento no es necesariamente un bug, sino una consecuencia del dise\u00f1o del protocolo. WhatsApp, por ejemplo, ha implementado mitigaciones parciales en versiones recientes, pero la superficie de ataque persiste en funci\u00f3n de la configuraci\u00f3n de red y el cliente utilizado.<\/p>\n<\/p><\/div>\n

\n
\n\t\t\t
\n\t\t\t\t\t\t<\/span>\n\t\t<\/div>\n<\/p><\/div>\n
\n

\u00bfC\u00f3mo afecta esto en la pr\u00e1ctica?<\/h2>\n<\/p><\/div>\n
\n

Por s\u00ed sola, una IP p\u00fablica no identifica a una persona ni a su domicilio exacto. Sin embargo, en el contexto de un ataque dirigido, reduce significativamente el margen de maniobra del atacante y ampl\u00eda las posibilidades de pivotaje:<\/p>\n<\/p><\/div>\n

\n
\n
\n\n\t\t\t\t\t<\/p>\n
Geolocalizaci\u00f3n aproximada <\/div>\n

<\/span>
\n\t\t\t\t\t\t\t
\n\t\t\t<\/path><\/svg><\/span>
\n\t\t\t<\/path><\/svg><\/span>
\n\t\t<\/span><\/p>\n<\/summary>\n

\n
\n
\n
\n

Mediante bases de datos de geolocalizaci\u00f3n IP se puede inferir ciudad, ISP y c\u00f3digo de \u00e1rea con una precisi\u00f3n variable.<\/p>\n<\/p><\/div>\n<\/p><\/div>\n<\/p><\/div>\n<\/p><\/div>\n<\/details>\n

\n\n\t\t\t\t\t<\/p>\n
Ingenier\u00eda social hacia el ISP <\/div>\n

<\/span>
\n\t\t\t\t\t\t\t
\n\t\t\t<\/path><\/svg><\/span>
\n\t\t\t<\/path><\/svg><\/span>
\n\t\t<\/span><\/p>\n<\/summary>\n

\n
\n
\n
\n

Un atacante puede contactar al proveedor de internet suplantando a la v\u00edctima, usando la IP como elemento de verificaci\u00f3n.<\/p>\n<\/p><\/div>\n<\/p><\/div>\n<\/p><\/div>\n<\/p><\/div>\n<\/details>\n

\n\n\t\t\t\t\t<\/p>\n
Correlaci\u00f3n con filtraciones <\/div>\n

<\/span>
\n\t\t\t\t\t\t\t
\n\t\t\t<\/path><\/svg><\/span>
\n\t\t\t<\/path><\/svg><\/span>
\n\t\t<\/span><\/p>\n<\/summary>\n

\n
\n

La IP puede cruzarse con registros en bases de datos filtradas (dark web) para obtener credenciales, correos o datos adicionales.<\/p>\n<\/p><\/div>\n<\/p><\/div>\n<\/details>\n

\n\n\t\t\t\t\t<\/p>\n
Perfilado en otros servicios <\/div>\n

<\/span>
\n\t\t\t\t\t\t\t
\n\t\t\t<\/path><\/svg><\/span>
\n\t\t\t<\/path><\/svg><\/span>
\n\t\t<\/span><\/p>\n<\/summary>\n

\n
\n
\n
\n

Si la IP es est\u00e1tica o semi-est\u00e1tica, puede vincularse a actividad en foros, servicios web o plataformas que registran IPs.<\/p>\n<\/p><\/div>\n<\/p><\/div>\n<\/p><\/div>\n<\/p><\/div>\n<\/details><\/div>\n<\/p><\/div>\n<\/p><\/div>\n<\/p><\/div>\n

\n
\n
\n

Mitigaciones<\/h2>\n<\/p><\/div>\n
\n
01<\/span><\/p>\n
\n
Usar una VPN de confianza<\/div>\n

Una VPN hace que la IP expuesta durante la negociaci\u00f3n STUN sea la del servidor VPN, no la del usuario. Soluci\u00f3n m\u00e1s efectiva para uso general.<\/p>\n

Recomendaci\u00f3n personal por su soporte a linux: Proton VPN Free<\/a><\/p>\n<\/div>\n<\/div>\n

02<\/span><\/p>\n
\n
Deshabilitar WebRTC en el navegador<\/div>\n

En Firefox puede desactivarse desde about:config. En Chromium es necesario usar extensiones como WebRTC Leak Prevent.<\/p>\n<\/div>\n<\/div>\n

03<\/span><\/p>\n
\n
Revisar la pol\u00edtica de llamadas en WhatsApp<\/div>\n

Activar “Privacidad de IP en llamadas” si est\u00e1 disponible en tu versi\u00f3n. Esta opci\u00f3n enruta las llamadas a trav\u00e9s de servidores de Meta, reduciendo la exposici\u00f3n directa.<\/p>\n<\/div>\n<\/div>\n

04<\/span><\/p>\n
\n
No aceptar llamadas de desconocidos<\/div>\n

La exposici\u00f3n de IP solo ocurre si se acepta la llamada. No responder a n\u00fameros desconocidos elimina el vector en su origen.<\/p>\n<\/div>\n<\/div><\/div>\n<\/p><\/div>\n<\/p><\/div>\n<\/p><\/div>\n","protected":false},"excerpt":{"rendered":"

Una caracter\u00edstica t\u00e9cnica dise\u00f1ada para hacer las comunicaciones m\u00e1s eficientes puede, sin configuraci\u00f3n adecuada, exponer tu direcci\u00f3n IP p\u00fablica a cualquier persona que te llame. Este post explora el mecanismo detr\u00e1s del problema y sus implicaciones reales. \u00bfQu\u00e9 es WebRTC y por qu\u00e9 importa? WebRTC (Web Real-Time Communication) es una tecnolog\u00eda de c\u00f3digo abierto integrada en navegadores y aplicaciones modernas que permite transferir audio, v\u00eddeo y datos directamente entre dos dispositivos, sin pasar por un servidor intermediario. Es la raz\u00f3n por la que plataformas como WhatsApp, Meet o Discord pueden ofrecer llamadas de baja latencia sin consumir grandes recursos de infraestructura. Para establecer esa conexi\u00f3n directa entre pares (peer-to-peer), ambos dispositivos necesitan conocer la direcci\u00f3n IP p\u00fablica del otro. Aqu\u00ed entra en juego el protocolo STUN. STUN (Session Traversal Utilities for NAT) permite a un dispositivo que se encuentra detr\u00e1s de un router o NAT descubrir su propia IP p\u00fablica y el tipo de puerto que est\u00e1 utilizando. Es una pieza esencial en la arquitectura WebRTC. Protocolo El vector de ataque: interceptar la negociaci\u00f3n STUN Durante el establecimiento de una llamada WebRTC, el dispositivo del llamante env\u00eda candidatos ICE (Interactive Connectivity Establishment) que incluyen, entre otros datos, la IP p\u00fablica del usuario. Este proceso ocurre en el momento en que se acepta la llamada. Con una herramienta de an\u00e1lisis de tr\u00e1fico como Wireshark, un atacante puede capturar estos paquetes en su propia interfaz de red y extraer la IP p\u00fablica de la contraparte de forma trivial, sin necesidad de exploits ni vulnerabilidades adicionales. Cabe destacar que este comportamiento no es necesariamente un bug, sino una consecuencia del dise\u00f1o del protocolo. WhatsApp, por ejemplo, ha implementado mitigaciones parciales en versiones recientes, pero la superficie de ataque persiste en funci\u00f3n de la configuraci\u00f3n de red y el cliente utilizado. \u00bfC\u00f3mo afecta esto en la pr\u00e1ctica? Por s\u00ed sola, una IP p\u00fablica no identifica a una persona ni a su domicilio exacto. Sin embargo, en el contexto de un ataque dirigido, reduce significativamente el margen de maniobra del atacante y ampl\u00eda las posibilidades de pivotaje: Geolocalizaci\u00f3n aproximada Mediante bases de datos de geolocalizaci\u00f3n IP se puede inferir ciudad, ISP y c\u00f3digo de \u00e1rea con una precisi\u00f3n variable. Ingenier\u00eda social hacia el ISP Un atacante puede contactar al proveedor de internet suplantando a la v\u00edctima, usando la IP como elemento de verificaci\u00f3n. Correlaci\u00f3n con filtraciones La IP puede cruzarse con registros en bases de datos filtradas (dark web) para obtener credenciales, correos o datos adicionales. Perfilado en otros servicios Si la IP es est\u00e1tica o semi-est\u00e1tica, puede vincularse a actividad en foros, servicios web o plataformas que registran IPs. Mediante bases de datos de geolocalizaci\u00f3n IP se puede inferir ciudad, ISP y c\u00f3digo de \u00e1rea con una precisi\u00f3n variable. Un atacante puede contactar al proveedor de internet suplantando a la v\u00edctima, usando la IP como elemento de verificaci\u00f3n. La IP puede cruzarse con registros en bases de datos filtradas (dark web) para obtener credenciales, correos o datos adicionales. Si la IP es est\u00e1tica o semi-est\u00e1tica, puede vincularse a actividad en foros, servicios web o plataformas que registran IPs. Mitigaciones 01Usar una VPN de confianza Una VPN hace que la IP expuesta durante la negociaci\u00f3n STUN sea la del servidor VPN, no la del usuario. Soluci\u00f3n m\u00e1s efectiva para uso general. Recomendaci\u00f3n personal por su soporte a linux: Proton VPN Free 02Deshabilitar WebRTC en el navegador En Firefox puede desactivarse desde about:config. En Chromium es necesario usar extensiones como WebRTC Leak Prevent. 03Revisar la pol\u00edtica de llamadas en WhatsApp Activar “Privacidad de IP en llamadas” si est\u00e1 disponible en tu versi\u00f3n. Esta opci\u00f3n enruta las llamadas a trav\u00e9s de servidores de Meta, reduciendo la exposici\u00f3n directa. 04No aceptar llamadas de desconocidos La exposici\u00f3n de IP solo ocurre si se acepta la llamada. No responder a n\u00fameros desconocidos elimina el vector en su origen.<\/p>\n","protected":false},"author":1,"featured_media":1099,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[20,19],"tags":[],"class_list":["post-1023","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-privacidad","category-seguridad-informatica"],"acf":[],"_links":{"self":[{"href":"https:\/\/rgonzalez.me\/index.php\/wp-json\/wp\/v2\/posts\/1023","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/rgonzalez.me\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/rgonzalez.me\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/rgonzalez.me\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/rgonzalez.me\/index.php\/wp-json\/wp\/v2\/comments?post=1023"}],"version-history":[{"count":52,"href":"https:\/\/rgonzalez.me\/index.php\/wp-json\/wp\/v2\/posts\/1023\/revisions"}],"predecessor-version":[{"id":1147,"href":"https:\/\/rgonzalez.me\/index.php\/wp-json\/wp\/v2\/posts\/1023\/revisions\/1147"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/rgonzalez.me\/index.php\/wp-json\/wp\/v2\/media\/1099"}],"wp:attachment":[{"href":"https:\/\/rgonzalez.me\/index.php\/wp-json\/wp\/v2\/media?parent=1023"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/rgonzalez.me\/index.php\/wp-json\/wp\/v2\/categories?post=1023"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/rgonzalez.me\/index.php\/wp-json\/wp\/v2\/tags?post=1023"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}