La mayoría de VPN gratis no te protegen: te convierten en el producto. Si buscas una VPN gratuita segura, necesitas saber que los peligros VPN gratis van desde la venta de tus datos de navegación hasta la inyección de malware en tu tráfico. El debate VPN gratis vs pago no es solo una cuestión de prestaciones: es una cuestión de modelo de negocio. Y los riesgos VPN gratis son tan reales que varias han acabado en informes de CSIRT y en bases de datos de vulnerabilidades. Vamos a destripar qué pasa realmente cuando activas una VPN que no te cobra ni un céntimo.
Cómo funciona el negocio de las VPN gratuitas
Mantener una red de servidores VPN cuesta dinero. Mucho. Ancho de banda, hardware, personal técnico, auditorías de seguridad. Si una empresa te ofrece todo eso gratis, la pregunta obvia es: ¿de dónde sale la pasta?
La respuesta corta: de ti. Las VPN gratis más populares monetizan de tres formas principales:
- Venta de datos de navegación: registran qué webs visitas, cuándo y desde dónde, y venden esos perfiles a brokers de datos y redes publicitarias.
- Inyección de publicidad: modifican el tráfico HTTP para colar anuncios en páginas que no los tenían. Algunas incluso sustituyen los anuncios originales por los suyos.
- Reventa de tu ancho de banda: tu conexión se convierte en un nodo de salida para otros usuarios, o peor, para redes de bots.
El caso de Hola VPN es paradigmático. En 2015, investigadores descubrieron que Hola convertía a sus millones de usuarios gratuitos en una botnet peer-to-peer. Tu IP doméstica podía estar sirviendo de salida para tráfico de terceros a través de su servicio comercial Luminati (hoy Bright Data). Y todo estaba en sus términos de servicio, que nadie lee.
Los riesgos concretos: qué puede salir mal
Los riesgos VPN gratis no son teóricos. Hay casos documentados, CVEs publicados y estudios académicos que los respaldan.
Fugas de datos y logs que prometían no guardar
En 2020, más de 20 millones de registros de usuarios de UFO VPN, FAST VPN, Free VPN, Super VPN y otros proveedores gratuitos quedaron expuestos en un servidor Elasticsearch sin autenticación. Contraseñas en texto plano, direcciones IP reales, tokens de sesión. Todos estos servicios afirmaban tener una política de "no logs". La base de datos decía lo contrario.
SuperVPN, que acumuló más de 100 millones de descargas en Google Play, fue señalada en múltiples informes por vulnerabilidades críticas que permitían ataques man-in-the-middle. Google acabó retirándola de la tienda.
Malware empaquetado
Un estudio del CSIRO (Commonwealth Scientific and Industrial Research Organisation) de Australia analizó 283 aplicaciones VPN para Android. Aproximadamente el 38% contenía algún tipo de malware o componente de tracking invasivo. Algunas inyectaban JavaScript para rastreo, otras instalaban malware similar al que puede comprometer dispositivos IoT en tu red doméstica.
Entre los hallazgos: aplicaciones que solicitaban permisos para acceder a la cámara, micrófono, contactos y SMS. Una VPN no necesita nada de eso para funcionar. Si una app de VPN te pide acceso a tu galería de fotos, desinstálala.
Cifrado débil o inexistente
Varias VPN gratuitas analizadas en investigaciones independientes usaban protocolos obsoletos como PPTP (con vulnerabilidades conocidas desde los años 2000) o directamente no cifraban el tráfico. El usuario cree estar protegido, pero su tráfico viaja en abierto. Es peor que no usar VPN, porque genera una falsa sensación de seguridad.
VPN gratis vs pago: qué diferencias importan de verdad
El debate VPN gratis vs pago se reduce a tres ejes: privacidad, rendimiento y transparencia.
| Aspecto | VPN gratis (típica) | VPN de pago (reputada) |
|---|---|---|
| Modelo de negocio | Publicidad, datos, ancho de banda | Suscripción directa |
| Auditorías independientes | Rara vez | Publicadas periódicamente |
| Protocolo de cifrado | Variable, a veces PPTP o propio | WireGuard, OpenVPN, IKEv2 |
| Política de logs | Declarada pero no verificada | Verificada por auditoría externa |
| Velocidad | Limitada, servidores saturados | Servidores optimizados |
| Jurisdicción | A menudo opaca (shell companies) | Transparente, fuera de 14 Eyes idealmente |
La jurisdicción importa más de lo que parece. Muchas VPN gratis operan a través de empresas pantalla registradas en paraísos fiscales, con propietarios reales en países con obligaciones de retención de datos. Antes de instalar cualquier VPN, busca quién está detrás. Si no encuentras respuesta clara, eso ya es una respuesta.
Para proteger tu dirección de email real al registrarte en estos servicios, usa siempre un alias. Si la VPN gratuita sufre una brecha, al menos tu correo principal no acaba en bases de datos filtradas.
Opciones gratuitas que sí merecen la pena (con matices)
No todas las VPN gratuitas son estafas. Algunas opciones legítimas ofrecen un tier gratuito como puerta de entrada a su producto de pago. La diferencia está en el modelo: te limitan funciones, no te explotan.
- ProtonVPN (tier gratuito): Sin límite de datos, sin publicidad, sin logs verificado por auditoría de Securitum. Servidores en varias ubicaciones (EE.UU., Japón, Países Bajos y otras que van ampliando). Velocidad limitada y sin streaming, pero el cifrado y la política de privacidad son los mismos que en la versión de pago. Sede en Suiza, fuera de la jurisdicción de la UE y de los Five Eyes. Código abierto y auditado.
- Windscribe (tier gratuito): 10 GB mensuales con registro por email, 2 GB sin email. Sede en Canadá (Five Eyes, ojo). Bloqueador de publicidad integrado. Buena opción para uso puntual.
- WARP de Cloudflare (1.1.1.1): Técnicamente no es una VPN completa, sino un proxy cifrado basado en WireGuard. No oculta tu IP a los sitios web de la misma forma que una VPN tradicional, pero cifra tu tráfico DNS y lo protege del ISP. Gratis, sin límite de datos, sin registro.
Ninguna de estas opciones sustituye a una VPN de pago completa. Pero si necesitas algo rápido para una red WiFi pública —como la del hotel o la cafetería—, son infinitamente mejores que instalar la primera app que aparece buscando "free VPN" en la Play Store.
Si usas VPN para teletrabajo o acceso a recursos corporativos, la situación es distinta. Ahí necesitas una VPN empresarial configurada correctamente, no un servicio genérico.
Cómo detectar una VPN gratis peligrosa
Antes de instalar cualquier VPN, pásale este filtro rápido:
- Busca la empresa matriz. Si no hay información clara sobre quién la opera, descártala. Herramientas como Crunchbase o una búsqueda en el registro mercantil ayudan.
- Revisa los permisos. Una VPN necesita permiso de red. No necesita acceder a tus contactos, tu cámara ni tu ubicación GPS.
- Lee la política de privacidad. Sí, en serio. Busca las palabras "share", "third party", "advertising partners". Si aparecen juntas, huye.
- Comprueba si tiene auditoría externa publicada. Las VPN serias contratan a firmas como Cure53, PwC o Deloitte para verificar sus sistemas. Si no hay auditoría, no hay verificación de sus promesas.
- Busca su nombre en navegadores orientados a privacidad y foros especializados. Reddit (r/VPN, r/privacy), los informes de CSIRO y las reviews de entidades como la EFF son buenas fuentes.
También puedes comprobar fugas de tu VPN activa. Sitios como ipleak.net, dnsleaktest.com y browserleaks.com te muestran si tu IP real, tus DNS o tu ubicación WebRTC se están filtrando. Si la VPN está activa y ves tu IP real en cualquiera de estos tests, esa VPN no funciona.
Lo que dice el RGPD (y lo que no)
El Reglamento General de Protección de Datos (UE 2016/679) aplica a cualquier empresa que trate datos de residentes en la UE, independientemente de dónde esté registrada. Una VPN que recopila tu historial de navegación está tratando datos personales y necesita base legal para hacerlo.
El consentimiento enterrado en unos términos de 40 páginas es cuestionable bajo el RGPD, que exige que el consentimiento sea informado, específico y libre. Pero la realidad es que la mayoría de estas empresas operan fuera de la jurisdicción efectiva de las autoridades de protección de datos europeas. Reclamar ante la AEPD es posible, pero la ejecución contra una empresa fantasma en Hong Kong es otra historia.
Tu mejor defensa no es legal: es técnica. Elige servicios con sede en jurisdicciones con leyes de privacidad fuertes (Suiza, Islandia, Panamá), con código abierto y con auditorías verificables. Y complementa la VPN con buenas prácticas: un navegador bien configurado, DNS cifrado, y sentido común al compartir datos en formularios.
Preguntas frecuentes
¿Puede una VPN gratis robar mis contraseñas?
Directamente, no, si el sitio usa HTTPS. Pero una VPN maliciosa puede redirigir tu tráfico DNS a páginas de phishing que imitan tu banco o tu correo, capturando credenciales. También puede instalar certificados raíz en tu dispositivo para inspeccionar tráfico cifrado. Es poco común, pero se ha documentado.
¿Es legal usar una VPN gratis en España?
Sí. El uso de VPN es completamente legal en España y en la UE. Lo que puede ser ilegal es la actividad que realices a través de ella. La VPN es una herramienta, como un cuchillo de cocina: legal tenerla, ilegal apuñalar a alguien con ella.
¿ProtonVPN gratis es realmente segura?
Según las auditorías independientes publicadas hasta la fecha, sí. ProtonVPN publica su código como open source, ha sido auditada por Securitum, y su modelo de negocio (convertir usuarios gratuitos en suscriptores de pago) no depende de vender datos. Las limitaciones son de velocidad y ubicaciones, no de seguridad.
¿Merece la pena pagar por una VPN?
Si la usas a diario, para teletrabajo, streaming o en redes públicas frecuentemente, sí. Los planes de larga duración (1-2 años) de proveedores reputados como Mullvad, ProtonVPN o IVPN están en torno a 4-6 € al mes. Es menos de lo que cuesta un café semanal y elimina las limitaciones del tier gratuito.
El siguiente paso
Abre los ajustes de tu móvil, ve a la sección de aplicaciones y revisa qué VPN tienes instalada ahora mismo. Si es una app gratuita que no aparece en la lista de opciones legítimas de este artículo, desinstálala. Después, instala ProtonVPN (tier gratuito) o WARP de Cloudflare. Te llevará tres minutos y dejarás de regalar tu historial de navegación a intermediarios que no conoces.
