Una VPN no logs que de verdad no guarde registros se demuestra con auditorías externas, código abierto y casos judiciales donde la empresa entregó "nada" a las autoridades. El marketing dice una cosa, la realidad técnica otra. Verificar que una VPN sin registros cumple su promesa pasa por leer informes de auditoría VPN firmados por consultoras como Deloitte, Cure53 o PwC, no por confiar en banners promocionales. Esta guía explica cómo separar el grano de la paja cuando quieres verificar la privacidad de tu VPN, qué tipos de logs de VPN existen realmente y por qué la jurisdicción importa tanto como el cifrado. La mitad de las "no-logs" del mercado tienen letra pequeña que descarta esa etiqueta en cuanto la lees con atención.
Qué significa "no logs" y por qué casi nadie lo cumple del todo
El término no logs no está regulado. Cualquier proveedor puede ponerlo en su web sin que un organismo le pida explicaciones. La realidad es que toda VPN procesa datos en algún momento, aunque sea durante milisegundos para enrutar el tráfico.
Existen tres tipos de registros que conviene distinguir:
- Logs de conexión: IP origen, IP asignada, marca de tiempo, ancho de banda consumido. Los usan para detectar abusos o aplicar límites.
- Logs de actividad: webs visitadas, DNS consultados, contenidos descargados. Esto es lo que rompería tu privacidad.
- Logs agregados: estadísticas sin identificador individual. Carga del servidor, número de usuarios conectados. Habitualmente inofensivos.
Una VPN puede afirmar honestamente que no guarda logs de actividad y seguir registrando datos de conexión. Por eso la pregunta correcta no es "¿guardáis logs?" sino "¿qué guardáis exactamente, durante cuánto tiempo y bajo qué jurisdicción?".
Auditorías externas: la única prueba que vale algo
Una empresa diciendo de sí misma que no guarda registros tiene el mismo valor que un restaurante autocalificándose de cinco estrellas. Las auditorías independientes son lo único que aporta credibilidad real.
Las consultoras que han firmado informes serios sobre VPNs incluyen:
- Deloitte: auditó ExpressVPN en 2022 y 2023 verificando políticas de no-logs.
- Cure53: especialistas en seguridad ofensiva, han revisado Mullvad, Surfshark y TunnelBear.
- PwC Suiza: ha auditado ProtonVPN repetidamente, incluyendo su modelo de negocio.
- KPMG: trabajó con NordVPN en revisiones de no-logs tras el incidente de 2018.
Antes de confiar en una "auditoría", comprueba tres cosas: quién la firma, cuándo se hizo (un informe de 2019 ya no sirve) y si es público o solo un resumen ejecutivo de marketing. ProtonVPN y Mullvad publican los informes completos, descargables en PDF. Otras compañías solo enseñan extractos cuidadosamente seleccionados.
Casos judiciales: el examen sorpresa
La mejor verificación de una VPN no logs es cuando una autoridad le pide datos y la empresa responde "no tenemos nada que entregar". Han pasado varios casos públicos que merecen recordarse.
En 2016, el FBI pidió datos de un usuario de PIA (Private Internet Access) y los abogados de la empresa declararon ante el tribunal que no podían entregar nada porque no se almacenaba. La causa quedó documentada en registros judiciales de EE.UU.
A finales de 2016, autoridades turcas confiscaron servidores de ExpressVPN investigando el asesinato del embajador ruso Andrei Karlov. No encontraron nada utilizable. El caso se cerró sin pruebas extraídas de los servidores.
En 2019, NordVPN sufrió una brecha en un servidor de Finlandia. Un atacante obtuvo acceso temporal, pero la investigación posterior confirmó que no había logs almacenados. Aun así, la gestión de la comunicación fue lenta y costó reputación.
Mullvad recibió en 2023 una visita de la policía sueca con orden de registro. Salieron sin nada porque la arquitectura no permite asociar cuentas con tráfico. La empresa publicó el comunicado completo en su blog.
Jurisdicción: el detalle que cambia toda la ecuación
Una VPN puede tener políticas perfectas y código auditado, pero si opera bajo una jurisdicción con leyes de retención de datos obligatoria, la promesa pierde peso. La pertenencia a las alianzas de inteligencia Five Eyes, Nine Eyes o Fourteen Eyes también pesa.
| Jurisdicción | Retención obligatoria | Alianzas de espionaje | Valoración |
|---|---|---|---|
| Suiza | No para VPN comerciales | Ninguna | Favorable |
| Panamá | No | Ninguna | Favorable |
| Islas Vírgenes Británicas | No | Ninguna directa | Aceptable |
| Suecia | Limitada | Fourteen Eyes | Mixta |
| Estados Unidos | No general, pero NSL posibles | Five Eyes | Desfavorable |
| Reino Unido | Investigatory Powers Act 2016 | Five Eyes | Desfavorable |
El RGPD añade otra capa a la ecuación europea: cualquier proveedor que ofrezca servicios en la UE debe cumplir el Reglamento (UE) 2016/679. Eso no impide guardar logs, pero sí obliga a documentarlos y limitarlos al mínimo necesario. La Agencia Española de Protección de Datos publica orientaciones útiles en su web.
Servidores RAM-only y código abierto: blindaje técnico
Algunas VPN han ido más allá del compromiso comercial y han rediseñado su infraestructura para que sea técnicamente imposible guardar logs persistentes.
Los servidores RAM-only ejecutan el sistema operativo entero en memoria volátil. Cualquier dato desaparece al reiniciar la máquina. ExpressVPN llama a esta arquitectura TrustedServer, Surfshark la llama Nexus y NordVPN opera con servidores RAM-only colocados. La idea es la misma: si confiscan el hardware, no encuentran disco con información.
El código abierto del cliente permite que cualquier desarrollador inspeccione qué hace realmente la app. Mullvad publica todo su código en GitHub, IVPN también, ProtonVPN libera sus clientes bajo licencia GPL. Si la app cliente envía telemetría que contradice la política de no-logs, alguien lo descubriría en horas.
Para entender mejor los protocolos que hay debajo del capó, conviene leer la comparativa de OpenVPN vs WireGuard y cómo configurarlo. WireGuard, por su diseño moderno, facilita que el proveedor implemente arquitecturas más limpias sin estados persistentes.
Pagos anónimos y cuentas sin email: el examen final
Una VPN que tome en serio la privacidad permitirá pagar sin asociar tu identidad a la cuenta. Mullvad acepta efectivo enviado por correo postal a Suecia y genera números de cuenta de 16 dígitos sin email asociado. IVPN funciona de manera parecida. ProtonVPN permite Bitcoin Lightning y efectivo.
Si una VPN exige email verificado, tarjeta de crédito a tu nombre y dirección postal real, el no logs empieza a quedarse cojo aunque técnicamente la promesa se cumpla en los servidores. Esa información también es identificable.
Para una privacidad más completa, combinar VPN con otras capas mejora el resultado. La encriptación de disco duro con BitLocker o VeraCrypt protege los datos en reposo, mientras que la eliminación de tus datos de Pipl, Spokeo y similares reduce la huella pública que ya circula sin tu permiso.
Banderas rojas que descartan una VPN al instante
Hay señales que delatan a una VPN que vende "no logs" sin sostenerlo. Si encuentras alguna, busca otra opción:
- Política de privacidad que menciona "logs anónimos" sin definir qué significa eso.
- VPN gratuita sin modelo de negocio claro. Si no pagas, el producto eres tú.
- Aplicaciones móviles cargadas con SDKs de tracking (se pueden inspeccionar con herramientas como Exodus Privacy).
- Sede en jurisdicciones Five Eyes sin auditoría externa reciente.
- Ausencia de informes públicos de transparencia (warrant canary).
- Términos de servicio que reservan el derecho a "compartir información con socios comerciales".
Si quieres profundizar en herramientas y configuraciones de privacidad digital, el blog de facilparatodos publica guías accesibles para usuarios no técnicos. Para necesidades empresariales más exigentes, los servicios de inteligencia artificial para empresas de Piqture incluyen asesoría en infraestructura segura y protección de comunicaciones.
Preguntas frecuentes
¿Una VPN gratuita puede ser realmente no-logs?
Casi nunca. Mantener una red global de servidores cuesta dinero, y si no se cobra al usuario, los ingresos suelen venir de vender datos de navegación o inyectar publicidad. ProtonVPN es la excepción notable: su versión gratuita está auditada y no registra actividad porque se subvenciona con los planes de pago.
¿Qué es un warrant canary y por qué importa?
Es un aviso público que una empresa publica afirmando que aún no ha recibido órdenes secretas de entrega de datos. Si el aviso desaparece o deja de actualizarse, los usuarios deducen que sí ha llegado alguna requisitoria. Es un mecanismo legalmente discutido pero ampliamente usado por proveedores serios.
¿El modo incógnito del navegador equivale a usar VPN?
No. El modo incógnito solo evita que el navegador guarde historial local. Tu proveedor de internet, las webs que visitas y cualquier intermediario siguen viendo todo. Una VPN cifra el tráfico y oculta la IP, son funciones complementarias.
¿Pueden las autoridades obligar a una VPN suiza a entregar datos?
Solo mediante procedimiento judicial formal y con garantías. Suiza no obliga a retener logs preventivamente, así que aunque la orden llegue, si la empresa no almacena nada, no hay nada que entregar. Por eso ProtonVPN ha podido responder con "no tenemos datos" a múltiples solicitudes documentadas en sus informes de transparencia.
¿Una VPN auditada en 2021 sigue siendo de fiar?
Depende. Las auditorías capturan un momento concreto y la infraestructura cambia. Un informe con más de dos años pierde relevancia. Lo deseable es ver auditorías repetidas anualmente o, como mínimo, cada 18 meses. Si una empresa presume de una auditoría única y antigua, conviene preguntar por qué no ha repetido el examen.
El siguiente paso
Abre la web del proveedor de VPN que usas ahora mismo y busca su informe de auditoría más reciente. Si no encuentras uno público de los últimos 18 meses firmado por una consultora independiente, plantéate cambiar a Mullvad, ProtonVPN o IVPN, los tres con auditorías recurrentes y código abierto verificable.
