SHIELD

Conectividad

VPN: el 95% del marketing es falso

Lo que una VPN protege de verdad, lo que no protege, y cómo elegir la adecuada para el uso adecuado.

Publicado el 17 min de lectura General

Última revisión:

Cables de red conectados a un switch

Un periodista me enseña orgulloso el icono verde en su barra de menús: “Estoy protegido, tengo NordVPN.” Le pregunto contra qué. Silencio. Tiene una suscripción de 3,50 € al mes y la convicción de que es invisible. Mientras hablamos, su teléfono está conectado a su cuenta de Google, a WhatsApp, a su Gmail profesional. La VPN no cambia nada de todo eso. Compró una sensación, no una protección.

Angle de lecture

La trampa habitual

El marketing de las VPN ha logrado una hazaña que pocas industrias igualan: convencer a decenas de millones de personas de que un objeto técnico muy concreto es un escudo universal contra todos los peligros de internet. “Proteja su privacidad. Hágase anónimo. Asegure sus datos.” Estas fórmulas tapizan los banners de YouTube, los patrocinios de podcasts, los recuadros dentro de las apps. Se repiten con tal frecuencia que han sustituido la comprensión por un reflejo: un problema de seguridad, luego una VPNTúnel cifrado entre tu dispositivo y un servidor, que oculta tu IP y tu tráfico a tu ISP..

El problema no es el producto. Una VPNTúnel cifrado entre tu dispositivo y un servidor, que oculta tu IP y tu tráfico a tu ISP. es una herramienta perfectamente honesta cuando uno sabe lo que hace. El problema es la brecha entre lo que le han vendido y lo que el objeto ejecuta realmente. Una VPN es un túnel cifrado entre su dispositivo y un servidor. Punto. Desplaza su punto de confianza: en lugar de que su proveedor de acceso vea su tráfico, es su proveedor de VPN quien lo ve. A veces ese desplazamiento es útil. A menudo, no toca el problema que usted cree resolver.

El peligro real no es usar una VPN. Es creer que le cubre en terrenos que ni siquiera roza —y por tanto bajar la guardia justo donde no le protege—. El periodista de mi epígrafe está más expuesto con su VPN de lo que estaría sin ella, porque ha sustituido una higiene operativa por una compra mensual. Es el peor escenario: la falsa confianza. Todo el resto de este artículo sirve para reconstruir la frontera exacta entre lo que la cosa hace y lo que no hace, para que deje de pagar por una ilusión y la use allí donde tiene un valor real.

Detallemos la mecánica, porque es la única forma de matar el mito. Cuando el túnel está activo, ocurren tres cosas y solo tres. Una: el tráfico entre su dispositivo y el servidor de salida está cifrado, por tanto invisible para cualquier observador situado entre ambos —red Wi-Fi local, proveedor de acceso, operador móvil—. Dos: su dirección IP real se sustituye, a ojos de los servidores de destino, por la del punto de salida de la VPN. Tres: si la configuración es limpia, sus peticiones DNS salen también por el túnel, lo que impide que la red local deduzca los dominios que visita. Ese es la integridad del contrato técnico. Todo lo que el marketing añade por encima es extrapolación abusiva.

Y lo que la VPN no hace nunca merece enunciarse con la misma sequedad. No cifra el contenido de sus comunicaciones de extremo a extremo: ese es el papel de HTTPSVersión segura de HTTP, que cifra la comunicación entre navegador y servidor mediante TLS., ya presente en la inmensa mayoría de la web, y la VPN no añade nada a ese contenido. No borra sus cookies, su sesión, su huella de navegador. No le protege ni de un malware descargado dentro del túnel, ni de un correo de phishing, ni de un adjunto trampa —un archivo malicioso sigue siendo malicioso llegue cifrado o no—. Y no le hace anónimo frente a los servicios a los que está conectado: si tiene la sesión abierta en Google, Google sabe quién es usted, sea cual sea la IP de salida. La VPN actúa sobre una sola capa, el transporte. Es ciega a todo lo demás.

El modelo de amenaza real: quién ve qué

La única pregunta que importa antes de encender una VPN: ¿contra quién? Un threat modelCartografía de actores, motivaciones, capacidades e impactos potenciales contra un objetivo. serio no se construye con adjetivos (“más seguro”, “privado”) sino con actores nombrados y capacidades precisas. Retomemos la cadena de su tráfico, eslabón por eslabón, y veamos quién ve qué con y sin túnel.

Sin VPN, en un Wi-Fi que usted no controla (cafetería, hotel, aeropuerto, sala de conferencias), el actor amenazante es alguien en la misma red. Con HTTPSVersión segura de HTTP, que cifra la comunicación entre navegador y servidor mediante TLS. generalizado, ya no lee el contenido de sus páginas. Pero ve los nombres de dominio que resuelve si su DNSSistema que resuelve los nombres de dominio en direcciones IP. Vector de vigilancia y censura muy subestimado. no está cifrado, puede intentar un MITMAtaque en el que un actor se interpone en una comunicación entre dos partes que creen estar en contacto directo. en un portal cautivo, y conoce las direcciones IP de destino. La VPN cierra limpiamente este vector: todo sale cifrado hacia el servidor VPN, el observador local solo ve un flujo opaco. Es el caso de uso más sólido, y también el único donde el beneficio es nítido y medible.

Sin VPN, frente a los sitios que visita, el sitio ve su IP real. Con VPN, ve la IP del servidor de salida. Esa es la segunda función real: ocultar su IP a un tercero puntual. Útil para investigación OSINTInteligencia a partir de fuentes abiertas (públicas): redes sociales, registros, archivos. donde no quiere que el objetivo registre su dirección, útil para sortear una georestricción. Pero es seudonimización, no anonimato —y el matiz va a decidir todo lo demás—.

Ahora el actor que el marketing escamotea: su propio proveedor de VPN. Cuando activa el túnel, no suprime al observador, lo sustituye. El proveedor ve su IP real en el momento de la conexión, sus horarios, sus volúmenes, y los destinos hacia los que enruta su tráfico. ¿Su política dice “no-log”? Es una promesa contractual, no una ley de la física. Vale lo que vale la auditoría independiente que la ha verificado y la jurisdicción que puede obligarle. Si su infraestructura es incautada o comprometida, esos datos pueden existir pese a la promesa. Usted ha desplazado su confianza desde un proveedor de acceso regulado hacia una empresa de la que a menudo no sabe nada.

Y los actores que la VPN no toca jamás: los servicios a los que está conectado (Google, Facebook, su banco le identifican por su sesión, no por su IP), las redes publicitarias (que usan el fingerprintingIdentificación de un dispositivo por las características únicas de su navegador y sistema., las cookies, los identificadores móviles —la IP es secundaria—), y todo lo que toca su máquina misma (malware, phishing, archivo trampa pasan por el túnel sin traba alguna). La VPN protege un segmento del transporte. No protege ni el contenido cifrado por otra vía, ni su identidad de aplicación, ni su equipo.

El eslabón “proveedor” lo decide todo

Puesto que encender una VPN equivale a sustituir un observador por otro, el único criterio que importa para la confidencialidad no es ni la velocidad, ni el número de países, ni el precio: es hasta qué punto puede confiar en quien ve pasar todo. Tres variables permiten evaluarlo en frío.

Primero la política de logs y su auditoría. “No-log” solo vale verificado por un tercero independiente, idealmente de forma repetida, y confrontado a la realidad: ¿ha sido ya requerido por una autoridad, y qué pudo entregar? Un proveedor que estructuralmente no tiene nada que dar —porque no conserva ningún dato de asociación entre una sesión y una identidad— resiste un requerimiento que un proveedor “no-log de palabra” no aguantará. Luego la jurisdicción: país de constitución de la empresa, tratados de asistencia judicial, obligaciones legales de conservación. Una buena política en una mala jurisdicción sigue siendo frágil. Por último el modelo económico, que lo dice todo: una VPN gratuita tiene que financiarse, y casi siempre se financia revendiendo sus datos de navegación o inyectando publicidad en su tráfico —es decir, haciendo exactamente aquello contra lo que usted creía protegerse—. Hola VPN llegó incluso a revender el ancho de banda de sus usuarios para convertirlo en una botnet de salida. Para un uso sensible, la VPN gratuita es la peor opción, no la más barata.

El panorama de proveedores se ordena entonces rápido. Mullvad e IVPN representan el extremo serio: auditorías repetidas, pago en efectivo o Monero, sin email requerido, código abierto. Proton VPN les sigue, en Suiza, auditado, integrado en un ecosistema coherente. En el otro extremo, las marcas a base de bombardeo publicitario —esas cuyo nombre conoce porque patrocinan la mitad de YouTube— han sido casi todas adquiridas por grupos de inversión, con auditorías de alcance limitado y conflictos de interés sobre el dato. Sirven de apaño para desbloquear un catálogo georestringido. No son una elección de confidencialidad.

WireGuard, OpenVPN, y el self-hosted

En el plano del protocolo, la cuestión está zanjada para el uso corriente. WireGuardProtocolo VPN moderno, sencillo y de alto rendimiento, integrado en el kernel Linux. cabe en unas 4.000 líneas de código, allí donde OpenVPN alinea cerca de 100.000: superficie de ataque reducida en un orden de magnitud, por tanto mucho más fácil de auditar, rendimiento netamente superior, latencia baja, reconexión casi instantánea cuando cambia de red. Es el valor por defecto razonable hoy. OpenVPN conserva su pertinencia en casos concretos: compatibilidad con ciertos cortafuegos de empresa restrictivos, flexibilidad de configuración, historial de auditoría más largo. Si usted administra un acceso remoto de empresa con restricciones de red particulares, OpenVPN puede seguir siendo la opción correcta —pero para un uso personal, WireGuard primero—.

Queda la opción del WireGuard autoalojado sobre un VPS, seductora para quien quiere controlarlo todo. Es excelente para una cosa: cifrar su tránsito en una red hostil hacia una infraestructura que usted domina. Es mala para la confidencialidad, y hay que decirlo claramente: si usted es el único cliente de ese servidor, su tráfico de salida es trivialmente atribuible a usted —no tiene multitud alguna en la que fundirse, a diferencia de un proveedor que mutualiza miles de usuarios tras cada IP de salida—. El self-hosted le da control, no anonimato.

Los contextos de censura cambian las reglas

En un país que practica el filtrado de red activo —China, Rusia, Irán— el cálculo se desplaza. Su proveedor de acceso local es, de hecho, un aparato de vigilancia de Estado: ve la totalidad de su tráfico DNS y HTTP, y bloquea rangos de IP y protocolos enteros. Una VPN hacia un servidor extranjero esquiva eso, a condición de que el protocolo no sea detectado y cortado. El Gran Cortafuegos chino sabe reconocer y bloquear handshakes VPN clásicos; hace falta entonces WireGuard en un puerto no estándar, o directamente protocolos de ofuscación concebidos para parecer tráfico banal (Shadowsocks, V2Ray). Y la regla operativa no admite excepción: la VPN debe instalarse, configurarse y probarse antes de la salida. Una vez allí, las tiendas de aplicaciones y los sitios de los proveedores suelen ser inaccesibles. Intentar descargar el cliente desde el aeropuerto de destino es llegar demasiado tarde.

El enfoque correcto: una herramienta, un uso, una frontera nítida

El giro pragmático cabe en una frase: una VPN no es una postura de seguridad, es una función de transporte que se activa para un uso concreto y que se evalúa sobre ese uso. Deje de preguntar “cuál es la mejor VPN” y empiece por “qué quiero impedir exactamente”. La respuesta dicta la elección —o la ausencia de elección—.

Si su objetivo es cifrar su tránsito en una red no dominada, cualquier VPN seria sirve, y el criterio pasa a ser la fiabilidad técnica: protocolo WireGuardProtocolo VPN moderno, sencillo y de alto rendimiento, integrado en el kernel Linux. por defecto (unas 4.000 líneas de código frente a ~100.000 de OpenVPN —superficie de ataque reducida, reconexión instantánea, latencia baja—), kill-switch que corta todo si el túnel cae, y DNS forzado dentro del túnel para no fugar. Si su objetivo es la confidencialidad frente a su proveedor, el criterio pasa a ser la confianza en el proveedor: Mullvad es la referencia —no-log auditado de forma repetida por terceros, pago en efectivo o cripto posible, sin email requerido (solo un número de cuenta aleatorio), código abierto—. ProtonSuite suiza de herramientas de privacidad (Mail, VPN, Drive, Pass, Calendar) con modelo de código abierto. VPN es la otra opción seria, suiza, auditada, código abierto. IVPN en el mismo espíritu. Todo lo demás —las marcas a base de bombardeo publicitario, compradas por fondos, con auditorías de alcance limitado— está bien para desbloquear Netflix y nada más.

Si su objetivo es el anonimato real —fuentes periodísticas, denunciantes, contextos donde su identidad debe ser imposible de vincular a su actividad— entonces ninguna VPN comercial basta. Necesita TorRed de anonimización que hace pasar el tráfico por 3 relés sucesivos para ocultar el origen., concebido para que ningún nodo único conozca a la vez quién es usted y qué hace. La VPN no sustituye jamás a Tor; en el mejor de los casos lo precede. Confundir ambos es el tipo de error que cuesta una fuente, no una suscripción.

Y si su objetivo no es ninguno de los tres —usted quiere “menos publicidad” o “que no me rastreen”— entonces la VPN sencillamente no es la herramienta. La medida que cambia algo es un bloqueador serio (uBlock Origin), un navegador endurecido, y el DNSSistema que resuelve los nombres de dominio en direcciones IP. Vector de vigilancia y censura muy subestimado. cifrado. Comprar una VPN para eso es poner un candado en la puerta equivocada.

Una vez elegidos el uso y el proveedor, tres ajustes separan una VPN que protege de verdad de una VPN decorativa. El kill-switch primero: corta toda conexión de red si el túnel cae, lo que evita la fuga más común —el instante en que la VPN se reconecta tras un cambio de red y su tráfico pasa en claro durante unos segundos—. Sin kill-switch, esos segundos bastan para exponer su IP real al sitio que estaba consultando. El DNS dentro del túnel después: muchas configuraciones dejan salir las peticiones DNS por el resolutor del sistema, por tanto visibles para la red local y el proveedor de acceso aun con la VPN activa. Una prueba en dnsleaktest.com tras conectar le dice en treinta segundos si está fugando. El split tunneling por último, que hace pasar solo una parte del tráfico por la VPN: práctico para mantener el acceso a una impresora local o a un servicio bancario que bloquea IP de VPN, pero trampa para una sesión sensible —todo lo que queda fuera del túnel está expuesto—. Para una sesión que importa, se corta el split tunneling y se hace pasar todo por el túnel.

El último reflejo es una cuestión de orden: se activa la VPN antes de conectarse, nunca después. Si abre un sitio y luego enciende el túnel, el sitio ya ha registrado su IP real y su dispositivo quizá ya ha resuelto dominios en claro. El gesto tardío es cosmético. La disciplina cabe en una frase: primero el túnel, después la navegación.

Lo que implica en concreto

Para usted, como particular

Una VPN es útil en un Wi-Fi público no fiable y para ocultar su IP a un sitio tercero puntual. No es anonimato, no es protección de identidad, y no sustituye ni a su antivirus ni a su vigilancia frente al phishing. Tres acciones, esta semana, todas por debajo de 200 € —la mayoría a 0 €—:

  1. Decida si lo necesita realmente — Hágase una sola pregunta: ¿me conecto con regularidad a Wi-Fi que no controlo, o necesito ocultar mi IP a sitios? Si la respuesta es sí, contrate Mullvad (5 € al mes, sin permanencia, pagable en efectivo, no-log auditado). Si no —si está en casa con su router o en 4G/5G— no necesita VPN. Ahórrese la suscripción.

  2. Configúrela correctamente, de una vez por todas — Active el protocolo WireGuardProtocolo VPN moderno, sencillo y de alto rendimiento, integrado en el kernel Linux., active el kill-switch, y verifique la ausencia de fuga DNS en dnsleaktest.com tras conectar. Coste: 0 €, diez minutos. Una VPN mal configurada que fuga el DNS solo protege su tranquilidad mental.

  3. No cuente con ella para lo que no hace — Para escapar al rastreo publicitario: instale uBlock Origin (gratuito). Para no ser identificado en los servicios que usa: cierre sesión de las cuentas cuando quiera navegar “aparte”, o use un perfil de navegador dedicado. La VPN no hace ni lo uno ni lo otro.

Para usted, CISO / Dirección de TI / dirección general

El punto de atención central: VPN de consumo ≠ VPN de empresa. Son dos objetos a los que todo opone salvo el nombre, y confundirlos en sus comunicaciones de concienciación crea falsa seguridad en sus colaboradores.

1. La VPN de empresa es un ladrillo de acceso, no una herramienta de confidencialidad. Zscaler, Cloudflare Access, Tailscale, OpenVPN self-hosted: estos productos existen para dar a sus colaboradores un acceso controlado a la infraestructura interna y aplicar políticas centralizadas. No “hacen anónimo”, no “protegen la vida privada” —no es su oficio—. Consecuencia directa: no reutilice jamás el vocabulario de marketing de consumo en sus guías internas. Un colaborador que cree que la VPN corporativa lo hace “privado” bajará la guardia frente al phishing y la fuga de identidad, que son sus riesgos reales.

2. El modelo “túnel hacia la red interna” está en vías de obsolescencia. La VPN de acceso tradicional coloca al usuario autenticado en la red, con una confianza implícita amplia —un equipo comprometido tras la VPN se desplaza lateralmente—. El giro del mercado va hacia el ZTNAModelo de acceso que verifica cada solicitud en lugar de confiar en la red de origen. y el Zero TrustPrincipio: nunca confiar por defecto, verificar cada solicitud.: acceso por aplicación, no por red, verificado de forma continua. Consecuencia directa: si su arquitectura todavía reposa sobre un concentrador VPN único que expone toda la LAN, inscriba la migración hacia un acceso por recurso en su hoja de ruta. La VPN sigue siendo un ladrillo, no la frontera.

3. La VPN de consumo en los dispositivos profesionales es un punto ciego. Hay colaboradores que instalan NordVPN o una VPN gratuita en su equipo profesional “para protegerse”, enrutando el tráfico de la empresa a través de un tercero desconocido, a veces fuera de la UE, a veces revendedor de datos. Consecuencia directa: su política debe prohibir explícitamente las VPN de consumo no aprobadas en los terminales gestionados, y su solución de gestión de flota (MDM) debe poder detectarlo. Una VPN gratuita en un equipo que toca sus datos es una exfiltración que usted mismo paga en comodidad de usuario.

Errores que se ven todo el tiempo

  • Creer que activar la VPN hace anónimo. Mientras tenga sesión abierta en sus cuentas de Google, Apple, Meta, está identificado, con la IP oculta o no. El anonimato pasa por TorRed de anonimización que hace pasar el tráfico por 3 relés sucesivos para ocultar el origen. y una disciplina de identidad, jamás por un simple túnel.
  • Usar una VPN gratuita para un uso sensible. El modelo económico de una VPN gratuita es usted: reventa de datos de navegación, inyección de publicidad, o peor. Es exactamente lo contrario de lo que busca.
  • No verificar la fuga DNS. Muchas configuraciones dejan salir las peticiones DNSSistema que resuelve los nombres de dominio en direcciones IP. Vector de vigilancia y censura muy subestimado. fuera del túnel. Su proveedor de acceso ve entonces todos los dominios que visita, con la VPN activa o no. Una prueba en dnsleaktest.com lleva treinta segundos.
  • Activar la VPN después de empezar a navegar. Si se conecta a un sitio antes de encender el túnel, su IP real ya está registrada. La VPN primero, la navegación después —si no, el gesto es cosmético—.
  • Confundir VPN de empresa y VPN de confidencialidad. La primera es un control de acceso, la segunda una herramienta personal. Mezclarlas en una comunicación produce colaboradores falsamente tranquilizados.
  • Descargarla sobre el terreno en país con censura. En China, Rusia, Irán, las tiendas y los sitios de VPN están a menudo bloqueados. Intentar instalar el cliente desde el aeropuerto de destino suele ser demasiado tarde: debe instalarse, configurarse y probarse antes de la salida.

Checklist accionable

  • N1 Definir el uso antes que la herramienta: ¿Wi-Fi no dominado? ¿ocultación de IP puntual? ¿acceso al sistema de información? ¿anonimato real? — cada respuesta dicta una solución distinta
  • N1 Si confidencialidad de consumo: elegir Mullvad, Proton VPN o IVPN, jamás un proveedor a base de bombardeo publicitario ni una VPN gratuita
  • N2 Activar WireGuard como protocolo por defecto y el kill-switch
  • N2 Verificar la ausencia de fuga DNS en dnsleaktest.com tras conectar
  • N2 Activar la VPN ANTES de conectarse a una red o a un sitio, nunca después
  • N2 Para el rastreo publicitario y el fingerprinting: uBlock Origin + navegador endurecido, no una VPN
  • N3 Para un anonimato real (fuente, denunciante): Tor, jamás una VPN comercial sola
  • N3 Misión en país con censura: instalar, configurar y probar la VPN antes de la salida
  • N3 En la organización: prohibir las VPN de consumo en los terminales gestionados y detectarlo vía MDM
  • N3 En la organización: planificar el giro de la VPN de red túnel completo hacia un acceso por recurso (ZTNA / Zero Trust)

Para profundizar

Las referencias que aguantan figuran en el frontmatter. Lea primero el threat model de ProtonVPN(opens in a new tab): es uno de los pocos documentos de un proveedor que dice honestamente contra qué protege su producto y contra qué no protege. Las auditorías no-log de Mullvad(opens in a new tab), repetidas y públicas, muestran a qué se parece una promesa verificable en lugar de una fórmula de marketing. Y el whitepaper de WireGuard(opens in a new tab) explica por qué un protocolo de 4.000 líneas ha reemplazado a un mastodonte de 100.000 —un buen recordatorio de que la seguridad se gana reduciendo la superficie de ataque, no apilando funciones—. Para la continuación lógica, vea Wi-Fi público, Reforzar el DNS y eSIM de viaje.

Fuentes y lecturas complementarias

Artículos relacionados