🌙 LATE NIGHT MODE ACTIVATED — THE CLOWN IS WATCHING 🌙
InicioRecursosProtocolos → Split Tunneling

Split Tunneling
explicado.

Manda algunas apps por el VPN y deja que otras vayan directas. Suena simple. Los trade-offs son interesantes.

El concepto

Por defecto, cuando enciendes un VPN, cada aplicación de tu dispositivo rutea su tráfico por el túnel. Email, navegación, sincronizaciones en segundo plano, actualizaciones de apps — todo se cifra y se manda por el servidor VPN.

El split tunneling rompe este modelo de todo-o-nada. Eliges qué apps (o qué destinos) van por el VPN, y cuáles van directas por tu conexión de internet normal.

Dos sabores de implementación

Por app (VPN por aplicación)

El más común en VPNs de consumo. Seleccionas apps específicas para incluir o excluir. Ejemplos:

  • Lista de inclusión: solo las apps de la lista van por el VPN; todo lo demás lo salta.
  • Lista de exclusión: todo va por el VPN excepto las apps de la lista.

Las decisiones se toman a nivel aplicación — el tráfico de tu app de banca no va por el túnel, pero el de cualquier otra app sí.

Por IP / por ruta

Más flexible pero más difícil de configurar. Especificas rangos de IP u hostnames que deberían saltarse el VPN. Por ejemplo:

  • "Excluir todo en 192.168.0.0/16" (tu red local — mantiene accesibles impresoras y NAS locales).
  • "Excluir netflix.com y sus IPs de CDN" (para que Netflix vea tu ubicación real).

El split tunneling por IP es más común en setups VPN de escritorio y a nivel router. En móvil, el de por app es el default.

Casos de uso comunes

Apps de banca que bloquean VPNs

Muchas apps de banca detectan el tráfico VPN y bloquean sesiones como medida antifraude. Si usas con regularidad la banca móvil con el VPN activo, verás errores tipo "No podemos procesar esta solicitud ahora mismo" o simplemente fallos silenciosos de login. Solución: rutea la app del banco fuera del VPN.

El trade-off: el tráfico de tu banco va por tu conexión normal del ISP, así que lo ven. Esto normalmente está bien — tu banco ya sabe quién eres.

Recursos de red local

Impresoras de casa, dispositivos NAS, hubs de domótica, servidores de archivos, servidores de juego locales — cualquier cosa de tu red de casa u oficina. Estos dispositivos tienen IPs privadas (192.168.x.x etc.) que no son alcanzables por un túnel VPN porque el túnel sale en el servidor remoto del proveedor, no en tu red local.

Solución: hacer split-tunnel para rutear el tráfico de IP local fuera del VPN. La mayoría de clientes VPN manejan esto automáticamente cuando activas "permitir acceso a la red local".

Aplicaciones sensibles a la latencia

Gaming online, llamadas de voz, videoconferencia — cualquier app donde cada milisegundo extra importe. El VPN añade algo de latencia (el tráfico desvía al servidor VPN antes de llegar a su destino). Rutear estas apps específicas fuera del túnel elimina ese overhead.

Trade-off: esas apps ya no se benefician de la protección VPN. Si estás en una red de confianza y solo te importa la latencia, esto está bien. En WiFi hostil, es turbio.

Apps específicas de región

A veces quieres que una app vea tu ubicación real por razones legítimas — apps del tiempo, reparto de comida, transporte compartido, mapas. Estas apps pueden romperse o comportarse raro si ven la ubicación de un VPN. Hazles split-tunnel fuera del VPN para obtener un comportamiento correcto.

El trade-off de seguridad

Cualquier cosa que rutees fuera del VPN queda expuesta a:

  • Tu red local (otros dispositivos del WiFi).
  • Tu ISP.
  • Cualquier observador a lo largo de la ruta al destino.

En tu WiFi de casa esto está bien — confías en la red. En WiFi público es lo opuesto a lo que quieres.

Guía práctica:

  • Redes de confianza (casa, oficina): el split tunneling es seguro y útil.
  • Redes no confiables (WiFi público, hotel, aeropuerto): deshabilita el split tunneling y mantén todo en el túnel.

Algunas apps VPN te dejan configurar esto condicionalmente — split tunneling activo en el WiFi de casa, túnel completo en todo lo demás. Vale la pena usarlo si está disponible.

¿Y el DNS?

Un detalle a menudo pasado por alto: incluso si una app está excluida del túnel VPN, sus consultas DNS pueden ir igual por el resolver DNS del VPN (o viceversa). Esto puede causar comportamiento raro:

  • App excluida pero el DNS va por el VPN → la app se conecta a un servidor geográficamente inapropiado porque el DNS devolvió una respuesta del lado VPN.
  • App incluida pero el DNS va por el resolver local → IP de destino visible para el ISP, tirando por tierra parte del VPN.

Los clientes VPN con reputación (el nuestro incluido) manejan esto correctamente — las apps con split-tunnel obtienen su DNS de fuera del túnel, las apps tunelizadas obtienen su DNS de dentro. Las implementaciones turbias puede que no.

Split tunneling en ClownVPN

Nuestra app Android soporta split tunneling por app. Ajustes → Split Tunneling te deja:

  • Elegir "Incluir todas las apps" (default) — todo va por el VPN.
  • Elegir "Excluir apps específicas" — las apps seleccionadas saltan el VPN.
  • Elegir "Incluir solo apps específicas" — solo las apps seleccionadas usan el VPN; todo lo demás directo.

El acceso a la red local siempre se permite cuando el VPN está activo, así que las impresoras de casa y dispositivos NAS siguen funcionando sin configuración manual.

Lectura relacionada

🎪 Preguntas frecuentes

¿Cuándo me ayuda de verdad el split tunneling?
Tres escenarios comunes. (1) Apps de banca que bloquean el tráfico VPN — rutéalas fuera del túnel. (2) Recursos de la red local como impresoras de casa, dispositivos NAS, hubs de domótica — estos necesitan tu IP local real. (3) Apps sensibles a la latencia como el gaming online donde el VPN añade hops no deseados. La pega es que cualquier app que rutees fuera del túnel queda expuesta a la red local en la que estés, así que usa el split tunneling a propósito, no por defecto.
¿El split tunneling es un riesgo de seguridad?
Sí, en redes hostiles. Lo que rutees fuera del túnel VPN está desprotegido y visible para la red. En tu WiFi de casa donde confías en la red, esto está bien. En WiFi público o redes no confiables, el split tunneling tira por tierra toda la razón por la que usas un VPN — mantén todo tunelizado en esos entornos.
¿Cuál es la diferencia entre split tunneling por app y por IP?
El de por app (VPN por aplicación) rutea el tráfico según qué aplicación lo generó — más fácil de configurar y lo que ofrecen la mayoría de VPNs de consumo en Android. El de por IP rutea el tráfico según la IP de destino — más flexible pero más difícil de montar porque necesitas conocer las IPs de los servicios que quieres excluir (que cambian en servicios cloud-hosted). El de por app es más común; el de por IP es más potente.
¿Android soporta split tunneling nativamente?
Parcialmente. La API VPN de Android ha soportado el ruteo por app desde Android 5 (2014), pero es una decisión a nivel app — la app VPN tiene que implementar la UI para elegir qué apps incluir/excluir. La mayoría de apps VPN modernas incluida la nuestra lo soportan. iOS ha sido históricamente más restrictivo — el VPN por app es una feature de dispositivo gestionado, no un ajuste de consumo.
¿ClownVPN soporta split tunneling?
Sí — en Android. Ajustes → Split Tunneling te deja elegir qué apps van por el VPN y cuáles lo saltan. El default es todas las apps tunelizadas. Usamos split tunneling por app (VPN por aplicación), no por IP.

🎪 VPN por app

Apps de banca directas. VPN para todo lo demás. Configurable.

🤖 Descargar la app gratis