VPN World

Split tunneling en una VPN: qué es, cuándo conviene y cómo configurarlo (2026)

Respuesta rápida: El split tunneling (túnel dividido) permite que algunas apps naveguen por la VPN y otras salgan directamente por tu ISP. Es útil para compatibilidad y velocidad, pero exige pruebas de fugas DNS/WebRTC y una configuración cuidadosa.

Esta guía es práctica: te enseña cómo pensar el túnel dividido, cómo configurarlo por plataforma y cómo comprobar que no estás filtrando DNS o IP sin darte cuenta. Si eres nuevo en el tema, primero revisa qué es una VPN y vuelve aquí.

Denys Shchur — autor de VPN World
Escrito por Denys Shchur Actualizado: 2026-01-07 · 12–18 min de lectura
Probar NordVPN — política no-logs auditada Probar Surfshark — servidores RAM-only
  • Definición clara (qué importa y qué no)
  • Riesgos reales: DNS, WebRTC, caídas de VPN
  • Configuración por dispositivo + checklist final

Relacionado: Fuga de DNS con VPN: cómo detectarla y arreglarla · Kill switch: por qué importa · Protocolos VPN: WireGuard, OpenVPN y más

Diagrama conceptual de split tunneling en una VPN

Qué es split tunneling y por qué existe

Una VPN cifra tu tráfico y lo envía a un servidor VPN antes de salir a Internet. Eso mejora la privacidad y reduce el riesgo en escenarios como Wi-Fi público. El problema es que “todo por la VPN” no siempre es lo ideal: algunas apps se rompen, algunos bancos bloquean IPs de VPN, y ciertas tareas (como descargas grandes) pueden saturar el túnel y afectar a tu videollamada.

El split tunneling (túnel dividido) soluciona ese choque: permite decidir qué tráfico va dentro del túnel cifrado y qué tráfico sale directo por tu ISP. En la práctica, suele venir en dos sabores:

  • Modo “incluir”: eliges las apps que van por la VPN (todo lo demás sale directo).
  • Modo “excluir”: todo va por VPN excepto las apps que marcas para salir directo.
Conclusión clave: split tunneling no es “menos seguridad por defecto”; es un control de ruta. La seguridad depende de qué dejas fuera y de cómo verificas fugas.

Diagrama 1: tráfico normal vs. split tunneling

Mismo dispositivo, dos rutas distintas. Útil para visualizar dónde se “pierde” el cifrado.

Visual
Tu dispositivo Apps: navegador, correo, streaming Reglas de túnel Incluir o excluir apps / dominios Objetivo: compatibilidad + control Túnel VPN Cifrado + IP del servidor Ruta directa Sale por ISP (sin VPN) Internet Servicios, sitios, CDNs Internet Servicios, sitios, CDNs Tráfico protegido Tráfico excluido

Cuándo conviene usar split tunneling (y cuándo es mala idea)

Hay una regla simple: usa túnel dividido cuando te aporta control y estabilidad, pero evita usarlo cuando tu prioridad es “todo protegido, sin excepciones”. En otras palabras: split tunneling es genial para productividad, pero exige más disciplina que “VPN siempre activada”.

Escenario ¿Conviene? Por qué Recomendación
Streaming y deporte (TV) Sí, a veces Algunas plataformas detectan VPN. Puedes sacar streaming por ruta directa y mantener navegador por VPN. Ver VPN para streaming y probar servidores.
Banca online Sí, con cuidado Algunos bancos bloquean IPs de VPN; excluir solo la app del banco puede ayudar. Guía: VPN y banca online.
Trabajo remoto Depende Si tu empresa exige VPN corporativa, mezclar rutas puede romper políticas o causar fugas. Revisar VPN para trabajo remoto.
Wi-Fi público No (mejor todo por VPN) En redes abiertas, excluir tráfico aumenta el riesgo de interceptación. Usar “todo por VPN” + checklist: seguridad Wi-Fi.
P2P/Torrents Con cuidado Si excluyes el cliente P2P por error, expones IP real y DNS. Ver VPN para torrent y P2P seguro.
Conclusión clave: split tunneling es ideal para compatibilidad (banca/TV) y rendimiento, pero en Wi-Fi público o para anonimato “duro” conviene evitar excepciones.

Diagrama 2: decisión rápida (sí/no) para túnel dividido

Un mini “árbol de decisiones” para no autoengañarte con la seguridad.

Checklist
¿Estás en Wi-Fi público? Cafetería, aeropuerto, hotel… No usar split tunneling Mejor todo por VPN ¿Buscas compatibilidad? Banca / TV / apps que bloquean VPN No Sí, con reglas claras Excluye solo lo mínimo Regla de oro: después de activar split tunneling, prueba IP + DNS + WebRTC.

Riesgos reales del split tunneling: IP, DNS, WebRTC y “falsos seguros”

El riesgo principal no es que split tunneling “sea malo”, sino que crea un espacio para el error humano: eliges una app equivocada, el sistema hace una resolución DNS fuera del túnel, o una caída de VPN deja una app expuesta. Si tu prioridad es privacidad, revisa también no-logs y desventajas de una VPN para tener expectativas realistas.

  • Fuga de DNS: la app excluida usa DNS del ISP y revela qué dominios consultas (ver fuga de DNS).
  • Fuga WebRTC: el navegador puede exponer IP local/pública (especialmente en llamadas o apps web).
  • IPv6: si tu VPN no gestiona IPv6, parte del tráfico puede ir fuera del túnel.
  • Kill switch mal aplicado: crees que “todo está cubierto”, pero el kill switch no protege las rutas excluidas.

Diagrama 3: mapa de riesgos (qué se puede filtrar y dónde)

Una vista rápida para entender por qué las pruebas de fugas son obligatorias.

Riesgos
IP pública real Apps excluidas / caída de VPN DNS del ISP Resolución fuera del túnel WebRTC Navegador puede revelar IP IPv6 Tráfico IPv6 fuera del túnel Solución: anti-fugas + kill switch + pruebas tras cada cambio

Nota de prueba: mi experiencia real con split tunneling (E-E-A-T)

Nota de prueba (experiencia real): Al probar el split tunneling de NordVPN en Windows 11 para separar un navegador “limpio” y un cliente de streaming, observé que algunas consultas DNS seguían resolviéndose por el adaptador del sistema tras cambiar la lista de exclusiones. La solución fue activar explícitamente la protección anti-fugas en la app, reiniciar el adaptador virtual y volver a comprobar con una prueba de fuga de DNS. Desde entonces, mi regla es simple: cada vez que toco split tunneling, repito IP + DNS + WebRTC antes de darlo por “listo”.

Conclusión clave: split tunneling se valida con pruebas, no con “se ve bien”. Si no lo mides, no existe.

Cómo probar tu configuración: IP, DNS, IPv6 y WebRTC

Antes de tocar opciones avanzadas, asegúrate de tener un “estado base”: conecta a la VPN sin split tunneling, comprueba IP y DNS, y luego activa túnel dividido. Si tu objetivo es rendimiento, también conviene hacer una prueba de velocidad VPN antes y después.

Prueba Qué valida Resultado esperado (tráfico por VPN) Señal de problema
IP pública Ocultación de IP Ves la IP del servidor VPN Aparece IP del ISP
DNS Resolución de dominios DNS del proveedor VPN o DNS seguro DNS del ISP / mezcla de resolvers
WebRTC Filtrado en navegador No revela IP real Revela IP real o local sensible
IPv6 Ruta IPv6 IPv6 protegido o bloqueado por VPN IPv6 sale fuera del túnel

Si detectas fugas, no “parchees” con suposiciones: ve directo a la guía VPN DNS leak y revisa el kill switch. En split tunneling, el kill switch es tu red de seguridad cuando una ruta protegida debe permanecer protegida.

Configuración por plataforma: Windows, Android, macOS, iOS y routers

La implementación cambia según sistema. En general, Windows y Android suelen ofrecer más control. iOS a menudo impone límites por diseño. Si necesitas control total, un enfoque robusto es configurar VPN en el router: configuración VPN en router.

Windows (recomendado para split tunneling granular)

En Windows, el split tunneling suele configurarse por aplicación. Mi recomendación práctica es empezar en modo excluir (todo por VPN, excluyes 1–2 apps) porque es más difícil cometer errores grandes. Para una guía paso a paso, usa configuración VPN en Windows.

  1. Activa la VPN y confirma que la IP cambió.
  2. Activa split tunneling y excluye solo lo mínimo (por ejemplo, una app bancaria si hay bloqueos).
  3. Activa protección anti-fugas y el kill switch.
  4. Repite pruebas: IP + DNS + WebRTC.

Android (útil para separar apps con “VPN siempre activa”)

Android suele permitir split tunneling (dependiendo del proveedor) y además ofrece “VPN siempre activada”. Si usas móvil en redes abiertas, revisa seguridad en Wi-Fi y evita exclusiones. Para detalles generales de uso de VPN, mira VPN en Android.

  • Si tu proveedor lo permite: excluye solo apps de baja sensibilidad (por ejemplo, una app de TV).
  • Mantén navegador y mensajería por VPN si tu objetivo es privacidad.
  • Revisa permisos de red y desactiva “ahorro de datos” si rompe conexiones.

macOS

En macOS, la calidad depende mucho del cliente VPN y del protocolo (ver protocolos VPN). Si el túnel dividido no es estable, prioriza “todo por VPN” y ajusta rendimiento con servidores o protocolos. También puedes revisar ajustes óptimos de VPN.

iOS (limitaciones frecuentes)

iOS suele ofrecer menos flexibilidad para split tunneling. Si necesitas separar tráfico por app de forma fiable, muchas veces la alternativa real es: (1) router con VPN, o (2) un segundo dispositivo (por ejemplo, TV con VPN y móvil directo). Para configuración base, usa configuración VPN en iPhone o VPN en iOS.

Routers (la opción “seria” para dividir por dispositivo)

En routers, el “split tunneling” suele ser por dispositivo (este equipo por VPN, este equipo directo) o por rutas. Es ideal si quieres que una Smart TV vaya directa y tus ordenadores vayan por VPN, o al revés. Aquí la guía: configuración VPN en router.

Diagrama 4: split tunneling “por dispositivo” con router

Una forma práctica de evitar limitaciones en iOS/TV: decides por equipo, no por app.

Hogar
Portátil Trabajo / navegador Smart TV Streaming Router Reglas por equipo Ruta VPN Portátil por VPN Ruta directa TV directa

Protocolos y rendimiento: por qué split tunneling no “arregla” una VPN lenta

Split tunneling puede mejorar la experiencia porque evita que cierto tráfico pase por el túnel, pero no convierte una VPN lenta en rápida. La velocidad depende de servidor, congestión, distancia, y protocolo. Si tu cuello de botella es el protocolo, revisa protocolos VPN y considera pruebas de rendimiento con pruebas de velocidad.

Protocolo Velocidad Estabilidad Compatibilidad Recomendado para
WireGuard Muy alta Alta Buena Uso diario, streaming, movilidad
OpenVPN Media-alta Muy alta Muy buena Compatibilidad y redes complejas
IKEv2/IPSec Alta Alta Buena Móviles y cambios de red
Conclusión clave: optimiza primero servidor/protocolo; luego usa split tunneling para compatibilidad y control fino.

Escenarios prácticos (con enlaces): streaming, banca, torrents y gaming

Donde split tunneling brilla es en escenarios reales, no en teoría. Aquí tienes configuraciones típicas “mínimas” que suelen funcionar. Si buscas una VPN gratuita para experimentar, lee mejores VPN gratis, pero recuerda: para split tunneling y anti-fugas, suele ser mejor una opción de pago (gratis vs. de pago).

Streaming

Si una plataforma detecta VPN, puedes intentar excluir solo la app de TV mientras mantienes navegador y resto del tráfico por VPN. Guía: VPN para streaming y, si aplica, VPN para Netflix. Consejo: prueba también cómo elegir servidor antes de excluir apps.

Banca online

Algunos bancos bloquean IPs de VPN por motivos antifraude. En ese caso, puedes excluir la app del banco y mantener el resto por VPN. Pero cuidado: si excluyes navegador y abres correo o enlaces, estás fuera del túnel. Revisa VPN y banca online.

Torrents / P2P

Aquí el riesgo de error es alto: si el cliente P2P queda fuera del túnel, tu IP queda expuesta. Lo recomendable es lo contrario: mantener el cliente por VPN y excluir cosas no sensibles si hace falta. Ver VPN para torrent y VPN para P2P seguro.

Gaming

Para gaming, a veces quieres la ruta más corta (latencia) y evitas VPN. Si tu objetivo es evitar DDoS o mejorar seguridad, valora qué juegos y qué servidores. Guías: VPN para gaming y VPN para consolas.

Diagrama 5: checklist final “anti-autoengaño”

Si marcas estas casillas, tu split tunneling suele estar “bien hecho”.

Final
Checklist rápido ✅ 1) Sé exactamente qué apps están fuera del túnel ✅ 2) Kill switch activo para el tráfico que debe ir por VPN ✅ 3) Pruebas hechas: IP + DNS + WebRTC + IPv6 ✅ 4) Repetir pruebas tras cambios/actualizaciones Tip: si fallas en (2) o (3), vuelve a “todo por VPN” y corrige antes de continuar.

Resolución de problemas: síntomas típicos y soluciones

Cuando split tunneling “se rompe”, suele hacerlo de formas repetibles. La ventaja es que puedes diagnosticarlo con un enfoque mecánico: comprobar rutas, luego DNS, luego el kill switch. Si tu objetivo es estabilidad general, revisa también ajustes óptimos VPN.

Síntoma Causa probable Solución rápida Guía relacionada
La app “excluida” sigue yendo por VPN Regla no aplicada / caché de red Reiniciar app + adaptador virtual, volver a guardar reglas VPN en Windows
DNS muestra el ISP aunque “debería” ir por VPN Anti-fugas desactivado / conflicto de resolvers Activar protección, revisar DNS y volver a probar Fuga DNS
Se corta la VPN y algunas apps quedan expuestas Kill switch no protege esas rutas Revisar kill switch, cambiar a modo “excluir” Kill switch
Streaming se bloquea o baja calidad Servidor saturado / detección VPN Cambiar servidor/protocolo, excluir solo la app si es necesario Streaming

FAQ

¿Qué es el split tunneling (túnel dividido) en una VPN?
Es una función que permite enviar parte del tráfico por la VPN y otra parte por la conexión normal, según reglas por app o ruta.
¿Split tunneling es seguro?
Puede serlo si excluyes lo mínimo y haces pruebas de IP/DNS/WebRTC. Si no verificas fugas, el riesgo sube.
¿Qué es mejor: modo “incluir” o “excluir”?
Para la mayoría de usuarios, el modo “excluir” (todo por VPN excepto 1–2 apps) suele ser más seguro porque reduce errores.
¿Split tunneling puede causar fugas de DNS?
Sí, especialmente si la app excluida usa DNS del ISP o el sistema mezcla resolvers. Activa anti-fugas y comprueba con tests.
¿Funciona en iPhone (iOS)?
En iOS suele estar limitado. Si necesitas dividir por “app”, un router con VPN puede ser una opción más estable.
¿Qué relación tiene con el kill switch?
El kill switch evita exposición cuando se cae la VPN. En split tunneling, confirma que protege el tráfico que debe ir por el túnel.
¿Es útil para streaming o banca online?
Sí, puede ayudar con bloqueos. Excluye solo la app necesaria y mantén el resto por VPN, luego verifica rutas y DNS.
¿Qué pruebas debo hacer tras activarlo?
IP pública, fuga de DNS, test WebRTC y verificación IPv6. Repite tras cambios/actualizaciones del cliente.
Conclusión clave: split tunneling funciona bien cuando está medido y documentado: reglas claras + anti-fugas + kill switch + pruebas.

Conclusión: una herramienta potente si la usas con disciplina

El split tunneling puede ser exactamente lo que necesitas para compatibilidad y rendimiento, pero no es “modo fácil”. Su valor es el control. Su riesgo, la falsa sensación de seguridad. Si tu prioridad es privacidad consistente, empieza por entender la VPN, elige bien proveedor/servidor (qué servidor elegir), y usa split tunneling solo cuando de verdad te aporte algo.

Relacionado: Prueba y arreglo de fuga DNS · Kill switch · VPN en router · Checklist Wi-Fi

Vídeo corto: privacidad con VPN explicada de forma simple

Conclusión clave: el trabajo principal de una VPN es separar quién eres (tu IP, tu ISP) de lo que haces (sitios que visitas). Con split tunneling, esa separación se vuelve “selectiva”, por eso las pruebas de fugas importan aún más.

Si el reproductor no carga, míralo en YouTube: https://www.youtube.com/watch?v=rzcAKFaZvhE.

Retrato de Denys Shchur

Sobre el autor

Denys Shchur es el creador de VPN World y se centra en guías prácticas y verificables sobre VPN, privacidad online y ciberseguridad aplicada. Prefiere pruebas reales (IP/DNS/WebRTC) a slogans de marketing, para que tú no tengas que perder horas comprobándolo todo.

VPN recomendadas

Enlaces de afiliado (nofollow/sponsored).

Probar NordVPN — política no-logs auditada Probar Surfshark — servidores RAM-only

Divulgación: VPN World puede ganar una comisión si te suscribes desde estos enlaces, sin cambiar tu precio.