Una VPN sin registros suena simple: el proveedor dice que no mantiene registros de lo que hacen los usuarios en línea. En la práctica, la frase es mucho menos precisa. Algunas VPN utilizan «sin registros» para significar que no almacenan la actividad de navegación. Otros aún recopilan marcas de tiempo de conexión, identificadores de dispositivos, datos de ancho de banda, informes de fallas, detalles de cuentas, registros de pagos o metadatos anti-abuso.
Esa diferencia importa. Una VPN se encuentra entre el usuario y la Internet en general. Puede ocultar la actividad de navegación de un proveedor de servicios de Internet o de un operador de Wi-Fi público, pero también concentra la confianza en el proveedor de VPN. Si el proveedor recopila demasiada información, utiliza un lenguaje vago sobre privacidad u opera sin verificación externa, un reclamo de no registros se convierte más en una línea de marketing que en una garantía de privacidad.
Para los usuarios que comparan servicios VPN, la verdadera pregunta no es si un sitio web dice «sin registros». La mejor pregunta es: ¿qué es exactamente lo que no se registra, qué se aún recopila, cuánto tiempo se conserva y quién ha verificado el reclamo?
Qué debería significar «sin registros»
Una política sólida de no registros debería significar que la VPN no almacena información que pueda conectar a un usuario con su actividad en línea. Eso incluye historial de navegación, consultas de DNS, direcciones IP de destino, contenidos de tráfico, archivos descargados, uso de aplicaciones y registros de sesión que vinculan una cuenta de usuario a una actividad específica en un momento específico.
Las políticas más fuertes son específicas. Dicen qué no recopila el proveedor, qué recopila, por qué se necesitan esos datos y cuándo se eliminan. Las políticas débiles a menudo se basan en afirmaciones amplias como «respetamos su privacidad» o «no rastreamos a los usuarios» sin definir qué significa «rastrear».
Es posible que una VPN aún necesite cierta información para ejecutar el servicio. Las direcciones de correo electrónico de la cuenta, el estado de pago, el plan de suscripción, la versión de la aplicación, el recuento de dispositivos, los mensajes de atención al cliente y los diagnósticos operativos básicos son ejemplos comunes. La cuestión no es si un proveedor recopila algún dato. La cuestión es si los datos recopilados podrían usarse para reconstruir el comportamiento de navegación de un usuario o identificar lo que hizo durante una sesión de VPN.
Los cuatro tipos de registros de VPN que los usuarios deben conocer
No todos los registros conllevan el mismo riesgo de privacidad. Una forma útil de evaluar una política de VPN es separar los registros en cuatro categorías.
Los registros de actividad son los más sensibles. Estos pueden incluir sitios web visitados, consultas de búsqueda, solicitudes de DNS, contenido al que se accede, archivos descargados, mensajes enviados y servicios utilizados. Una VPN que mantiene registros de actividad no debe tratarse como un servicio sin registros centrado en la privacidad.
Los registros de conexión son más complicados. Estos pueden incluir la hora a la que un usuario se conectó, la hora a la que se desconectó, la cantidad de datos transferidos, la dirección IP original, el servidor VPN utilizado y la dirección IP asignada por la VPN. Algunos datos de conexión pueden usarse temporalmente para solucionar problemas o prevenir abusos. Pero si se conservan durante períodos prolongados, pueden convertirse en metadatos identificativos.
Los registros de cuentas incluyen información que los usuarios proporcionan al registrarse o pagar. Las direcciones de correo electrónico, los nombres de usuario, las facturas, los procesadores de pagos, el historial de renovación y los tickets de soporte pueden conectar a una persona real a una cuenta VPN. Estos registros pueden ser inevitables, pero deben divulgarse claramente.
Los registros de diagnóstico incluyen informes de fallos, datos de rendimiento de la aplicación, tipo de dispositivo, versión del sistema operativo y eventos de análisis. Estos a menudo se presentan como inofensivos, pero aun así pueden revelar patrones. Los usuarios deben verificar si los diagnósticos son opcionales, anonimizados, minimizados y eliminados rápidamente.
“Sin registros de actividad” no es lo mismo que “sin registros”
Un truco común es utilizar «sin registros» como abreviatura de «sin registros de actividad». Esto puede seguir siendo útil, pero no es lo mismo que no recopilar datos significativos.
Por ejemplo, una VPN puede decir que no registra el historial de navegación y al mismo tiempo almacena direcciones IP de origen, marcas de tiempo de conexión, totales de ancho de banda e identificadores de dispositivos. Es posible que esos datos no muestren la página exacta que visitó un usuario, pero aun así pueden ser confidenciales. En algunos casos, los metadatos pueden ser suficientes para delimitar quién se conectó, cuándo se conectó y qué servidor utilizó.
Es por eso que los usuarios deben mirar más allá del titular y leer la política de privacidad. Las mejores políticas utilizan un lenguaje sencillo y enumeran campos de datos específicos. Las políticas más débiles se esconden detrás de un lenguaje amplio como «podemos recopilar información necesaria para brindar el servicio» sin decir cuál es esa información.
Las auditorías independientes importan, pero no son mágicas
Las auditorías de terceros se han convertido en una de las principales formas en que los proveedores de VPN intentan demostrar sus afirmaciones de no guardar registros. Una auditoría real puede resultar útil porque una empresa externa revisa partes de los sistemas, políticas, infraestructura o configuración del servidor del proveedor.
Pero los usuarios no deberían tratar la palabra «auditado» como una respuesta final. El alcance importa.
Una buena auditoría debería responder varias preguntas. ¿Quién lo realizó? ¿Cuándo se completó? ¿Fue una auditoría sin registros, una auditoría de seguridad o una revisión de cumplimiento general? ¿Inspeccionó la infraestructura del servidor, los sistemas backend, las aplicaciones, los controles de acceso internos y las prácticas de retención de datos? ¿El informe es público, resumido o está disponible sólo para los clientes? ¿Se encontró algún problema? ¿Estaban arreglados?
Una auditoría antigua es menos útil que una reciente. Una auditoría limitada es menos útil que una que cubra los sistemas donde realmente se crearían o almacenarían los registros. Un resumen de una auditoría privada es menos útil que un informe público que explique la metodología y las limitaciones.
Las auditorías también capturan un momento determinado. Un proveedor puede cambiar la infraestructura, la propiedad, las herramientas internas o las prácticas de datos después de una auditoría. Eso no significa que las auditorías sean inútiles, pero significa que deben ser tratadas como una señal entre varias.
Servidores solo RAM e infraestructura de privacidad
Algunos proveedores de VPN utilizan servidores de solo RAM, a veces llamados infraestructura sin disco. En esta configuración, los servidores se ejecutan desde una memoria volátil en lugar de escribir datos persistentes en los discos duros. Cuando el servidor se reinicia o se apaga, los datos de la memoria se borran.
Esto puede reducir el riesgo de retención de datos a largo plazo. También puede hacer que las incautaciones del servidor sean menos útiles porque no debería haber un disco tradicional lleno de registros históricos. Pero la infraestructura basada únicamente en RAM no sustituye a una política de privacidad clara o una auditoría de terceros. Si los sistemas backend de una empresa recopilan metadatos de usuario en otros lugares, los servidores VPN sin disco por sí solos no resuelven el problema.
Los usuarios deben tratar los servidores de sólo RAM como un control técnico positivo, no como una prueba de que no existen registros.
Jurisdicción y solicitudes legales
Un proveedor de VPN está sujeto a las leyes de los países donde opera, donde está constituido y donde tiene infraestructura o personal. La jurisdicción no hace que una VPN sea segura o insegura automáticamente, pero afecta la forma en que el proveedor puede responder a las demandas legales.
Un proveedor sin registros debe explicar cómo maneja las solicitudes de aplicación de la ley. Lo ideal sería publicar un informe de transparencia que muestre cuántas solicitudes recibe y cómo responde. Algunos proveedores también publican canarios de garantía, aunque no son una protección perfecta y no deberían reemplazar un proceso legal claro.
El punto clave es simple: si una VPN no recopila datos identificativos de la actividad, tiene menos información útil que entregar. Si recopila metadatos, las solicitudes legales pueden importar mucho más.
Las VPN gratuitas necesitan un escrutinio adicional
Una VPN gratuita no es automáticamente mala, pero los usuarios deberían ser más escépticos. La infraestructura VPN cuesta dinero. Los servidores, el ancho de banda, la ingeniería, las revisiones de seguridad, la atención al cliente y la prevención de abusos tienen costos reales. Si los usuarios no pagan directamente, el proveedor necesita otro modelo de negocio.
Algunas VPN gratuitas funcionan como versiones limitadas de productos pagos. Otros dependen de la publicidad, el análisis, las asociaciones de datos o la monetización del tráfico. Los usuarios deben verificar si el plan gratuito tiene una política de privacidad separada, si comparte datos con anunciantes o socios de análisis y si la aplicación solicita permisos que no coinciden con el servicio.
La pregunta más importante no es «¿Es gratis?» La pregunta es «¿Cómo paga esta empresa por el servicio sin convertir los datos del usuario en el producto?»
Señales de alerta en una política de no registros
Varias señales deberían hacer que los usuarios sean cautelosos.
Una política que dice que el proveedor “puede recopilar” categorías amplias de datos sin explicar los límites es un problema. También lo es el lenguaje que permite compartir datos con “socios”, “afiliados” o “terceros de confianza” sin nombrarlos ni explicar por qué es necesario compartirlos.
Otra señal de alerta es la falta de coincidencia entre la página de inicio y la política de privacidad. Si la página de inicio dice «cero registros» pero la política enumera marcas de tiempo de conexión, direcciones IP, identificadores de dispositivos y datos analíticos, la política es el documento que importa.
Los usuarios también deben tener cuidado cuando una VPN hace promesas imposibles. Una VPN por sí sola no puede hacer que alguien sea completamente anónimo. No puede impedir que los sitios web rastreen a los usuarios que han iniciado sesión. No puede eliminar datos que ya están en poder de anunciantes, intermediarios de datos, navegadores o aplicaciones. No puede proteger contra todas las formas de malware, phishing, huellas dactilares o compromiso de cuenta.
Prometer demasiado no es sólo un mal marketing. Es una señal de confianza.
Qué deben comprobar los usuarios antes de elegir una VPN sin registros
Comience con la política de privacidad. Busque términos como «dirección IP», «marca de tiempo», «DNS», «ancho de banda», «ID de dispositivo», «análisis», «informes de fallos», «publicidad», «terceros», «retención» y «aplicación de la ley». Un proveedor serio debería hacer que estos puntos sean fáciles de entender.
Luego verifique el historial de auditoría. Busque el auditor, la fecha, el alcance y si el informe cubre específicamente las reclamaciones sin registros. Una auditoría de seguridad de una aplicación es útil, pero no es lo mismo que verificar que la empresa no retiene la actividad del usuario ni los metadatos de conexión.
A continuación, verifique la propiedad y la transparencia. Un proveedor de VPN debe revelar claramente la empresa detrás del servicio, dónde tiene su sede y cómo los usuarios pueden contactarla. La propiedad oculta no es prueba de irregularidades, pero dificulta la rendición de cuentas.
Después de eso, verifique el modelo de negocio. Las suscripciones pagas, los planes freemium, la publicidad, los paquetes de herramientas y los servicios empresariales crean diferentes incentivos. La política de privacidad debe explicar si los datos del usuario se venden, comparten, alquilan, analizan o utilizan para publicidad dirigida.
Finalmente, verifique si las funciones de privacidad están habilitadas de forma predeterminada. Una VPN con configuraciones sólidas ocultas en la aplicación protege menos que una que comienza con valores predeterminados seguros. Las funciones útiles incluyen protección contra fugas de DNS, protección contra fugas de IPv6, desconexión automática, protocolos modernos, actualizaciones automáticas y controles de diagnóstico claros.
Una lista de verificación práctica para no guardar registros
Una VPN confiable y sin registros debería poder responder estas preguntas claramente:
- ¿Registra la actividad de navegación, las consultas de DNS o las direcciones IP de destino?
- ¿Almacena la dirección IP original del usuario?
- ¿Mantiene las marcas de tiempo de conexión?
- ¿Realiza un seguimiento del ancho de banda por cuenta?
- ¿Durante cuánto tiempo se conservan los datos operativos?
- ¿Los diagnósticos son opcionales?
- ¿Se comparten los análisis con terceros?
- ¿Se ha auditado de forma independiente la política de no registros?
- ¿La auditoría es reciente y específica?
- ¿La propiedad de la empresa es pública?
- ¿El proveedor publica informes de transparencia?
- ¿La política de privacidad coincide con las afirmaciones de marketing?
Si la respuesta no es clara, esa es la respuesta. Las políticas de privacidad las redacta la empresa, no los usuarios. Cuando un proveedor quiere confianza, debe facilitar la búsqueda de pruebas.
Una política de VPN sin registros es tan sólida como sus definiciones, infraestructura, verificación y modelo de negocio. La frase «sin registros» no debe aceptarse al pie de la letra. Los usuarios deben comprobar qué datos se excluyen, qué datos se siguen recopilando, cuánto tiempo se conservan, si una auditoría independiente respalda la afirmación y si los incentivos de la empresa se alinean con la privacidad.
Las VPN pueden ser herramientas útiles. Pueden reducir la exposición en redes que no son de confianza, ocultar los metadatos de navegación de un proveedor de servicios de Internet y ayudar a enrutar el tráfico a través de una ubicación diferente. Pero no eliminan la confianza. Mueven la confianza de una parte a otra.
Es por eso que la mejor VPN sin registros no es la que tiene el eslogan de privacidad más ruidoso. Es el que recopila menos datos, explica claramente sus límites, verifica sus afirmaciones periódicamente y ofrece a los usuarios menos motivos para adivinar.
