Este informe examina en profundidad quién está detrás de las principales VPN comerciales – ExpressVPN, NordVPN, Surfshark, CyberGhost, Private Internet Access (PIA), ProtonVPN, Mullvad, IVPN, TunnelBear y Windscribe – abarcando su estructura corporativa, jurisdicción legal, conexiones con industrias de publicidad o vigilancia, controversias de seguridad, auditorías técnicas, tecnologías empleadas, cambios de propiedad y su presencia en países de alianzas de inteligencia Five/Nine/Fourteen Eyes (los acuerdos de intercambio de inteligencia entre naciones angloparlantes y aliados europeos)
Para dar comienzo, una tabla comparativa de propiedad corporativa, país de registro y situación respecto a las alianzas de inteligencia (Five Eyes – EE.UU., Reino Unido, Canadá, Australia, Nueva Zelanda; Nine Eyes – los anteriores más Países Bajos, Noruega, Dinamarca, Francia; Fourteen Eyes – los anteriores más Suecia, España, Bélgica, Alemania, Italia):
| Servicio VPN | Empresa matriz / Propietario actual | País de registro | Situación Five/Nine/14 Eyes | Cambios corporativos notables |
|---|---|---|---|---|
| ExpressVPN | Express VPN International Ltd. – Propiedad de Kape Technologies (empresa británica/israelí) | Islas Vírgenes Británicas (BVI) (territorio británico) | BVI (fuera de Five Eyes; influencia indirecta del Reino Unido) | Adquirida por Kape en 2021 por ~$936M. |
| NordVPN | NordVPN S.A. – Propiedad de Nord Security (grupo fundado en Lituania, incorporado en Países Bajos) | Panamá (Tefincom S.A.) | Panamá (fuera de alianzas Eyes); oficinas en LT, NL, RU(UK) | Fusionada bajo un holding común con Surfshark en 2022; primera ronda de inversión en 2022, valuación $1.6B. |
| Surfshark | Surfshark B.V. – Propiedad de Nord Security (tras fusión; originalmente Surfshark Ltd.) | Países Bajos (antes registrada en BVI) | Países Bajos (Nine Eyes); oficinas en LT, Polonia, Alemania | Fusionada con Nord Security a inicios de 2022 (operación conjunta, marca independiente). |
| CyberGhost | CyberGhost S.A. – Propiedad de Kape Technologies (UK) | Rumanía (sede operativa) | Rumanía (no pertenece a Five/Nine/14 Eyes; sin leyes de retención de datos obligatorias) | Adquirida por Kape en 2017 (Kape = ex-Crossrider con pasado adware). |
| Private Internet Access (PIA) | London Trust Media, Inc. – Propiedad de Kape Technologies (UK) | Estados Unidos (Denver, EE.UU.) | EE.UU. (miembro Five Eyes) ; desde 2019 bajo matriz británica (Kape) | Adquirida por Kape en 2019; antes operaba independiente en EE.UU. (fundada 2010). |
| ProtonVPN | Proton AG (independiente, empresa matriz de ProtonMail) | Suiza (Ginebra) | Suiza (no integra alianzas Eyes; marco legal de privacidad fuerte) | Empresa privada suiza, co-fundada por científicos del CERN (2014); sin adquisiciones externas (unida internamente a ProtonMail). |
| Mullvad | Amagicom AB (independiente) | Suecia (Gotemburgo) | Suecia (parte de 14 Eyes; participa en SIGINT Seniors, aunque con garantías locales de privacidad) | Empresa independiente (fundada 2009); sin inversores externos, propiedad de fundadores. |
| IVPN | Privatus Limited (independiente) | Gibraltar (territorio británico) | Gibraltar (territorio del Reino Unido; posible alcance de Five Eyes vía UK) | Empresa independiente (fundada 2009); propiedad privada de sus fundadores, sin fusiones. |
| TunnelBear | TunnelBear Inc. – Propiedad de McAfee Corp. (EE.UU.) | Canadá (Toronto) | Canadá (Five Eyes); controlada por McAfee en EE.UU. (Five Eyes) | Adquirida por McAfee en marzo 2018; mantiene marca separada bajo McAfee. |
| Windscribe | Windscribe Limited (independiente) | Canadá (Ontario) | Canadá (Five Eyes) | Empresa independiente (fundada ~2015); sin ventas a terceros, dirigida por sus fundadores. |
Tendencias generales - Se observa una consolidación corporativa en la industria VPN – varias marcas líderes (ExpressVPN, CyberGhost, PIA, y desde 2021 también Surfshark y NordVPN bajo un holding) ahora pertenecen a dos grandes grupos: Kape Technologies (empresa cotizada en Londres, con raíces en Israel) y Nord Security (grupo surgido en Europa del Este). Otras, como ProtonVPN, Mullvad, IVPN, Windscribe, se mantienen independientes bajo empresas más pequeñas enfocadas en privacidad.
La jurisdicción es un factor crucial - Muchas VPN eligieron registrarse en países fuera de las alianzas de inteligencia (p. ej., BVI, Panamá, Suiza) para minimizar interferencias gubernamentales, aunque la adquisición por empresas en países Five Eyes puede introducir nuevas consideraciones legales.
A continuación, se detalla cada proveedor en términos de estructura corporativa, vínculos con publicidad o vigilancia, controversias de seguridad, auditorías y tecnología, cambios de propiedad, y exposición a jurisdicciones de inteligencia.
ExpressVPN
ExpressVPN fue fundada en 2009 y está registrada en las Islas Vírgenes Británicas (BVI). En septiembre de 2021, sus fundadores vendieron la empresa a Kape Technologies, un conglomerado de ciberseguridad con sede en Reino Unido e inversores israelíes, por aproximadamente 936 millones de dólares. Kape (antes conocida como Crossrider) tiene un controvertido pasado en la industria de adware: fue identificada en 2015 como un importante distribuidor de software de inserción publicitaria en navegadores (ej. el caso SuperFish). Tras cambiar su nombre a Kape en 2018, la empresa declaró haber “roto completamente con el mundo ad-tech” para reinventarse en privacidad. Kape también posee otras VPN populares como CyberGhost, ZenMate y PIA, sumando millones de usuarios bajo su paraguas.
ExpressVPN conserva su entidad legal en BVI aun después de la adquisición, aprovechando que ese territorio no impone retención obligatoria de datos. BVI está fuera de las alianzas de inteligencia Five/Nine/14 Eyes, lo cual teóricamente reduce la presión gubernamental; no obstante, su estatus de territorio británico implica cierto vínculo jurídico con Reino Unido. La empresa enfatiza que mantiene una política estricta de no registros y la jurisdicción BVI como parte de su compromiso de privacidad. Tras la compra, Kape afirmó que ExpressVPN seguiría operando de forma independiente, con su propio equipo y estándares, conservando la sede en BVI y la política de cero registros. Directivos de ExpressVPN declararon haber realizado una diligencia debida extensa para asegurarse de que Kape compartiera su compromiso con la privacidad y afirmaron haber quedado satisfechos con las garantías obtenidas. Aun así, parte de la comunidad recibió la noticia con escepticismo dado el pasado de Crossrider; la credibilidad de Kape en cuanto a privacidad continúa siendo un punto vigilado de cerca por activistas y usuarios expertos.
Controversias
ExpressVPN se vio envuelta en una controversia en 2021 relacionada con un alto ejecutivo y actividades de vigilancia. En septiembre de ese año, salió a la luz que su Director de Informática (CIO), Daniel Gericke, había trabajado años antes como contratista de inteligencia para Emiratos Árabes Unidos, participando en una unidad de hackers (“Proyecto Raven”) que espió a activistas de derechos humanos, periodistas y funcionarios estadounidenses. El Departamento de Justicia de EE.UU. multó a Gericke y otros exagentes por violar leyes de hacking y exportación de armamento digital. Sorprendentemente, ExpressVPN ya conocía esos antecedentes al contratarlo – la empresa admitió que Gericke divulgó “los hechos clave” de su historial desde el inicio, y defendió su contratación alegando que su conocimiento de las herramientas de los adversarios les ayudaba a reforzar la seguridad de la VPN. Esta revelación generó molestia entre algunos empleados de ExpressVPN, quienes expresaron internamente que la situación podía erosionar la confianza de los usuarios en la empresa. En una sesión interna de preguntas y respuestas, decenas de empleados votaron preocupados preguntando cómo se reconstruiría la reputación tras saberse que ocupaba un puesto clave. La dirección respondió que valoraban la transparencia y el debate, reiterando su confianza en Gericke por su desempeño y asegurando que su pasado no comprometía los principios de la compañía. No obstante, la situación fue ampliamente reportada en medios de tecnología, añadiendo presión reputacional justo cuando se anunciaba la venta a Kape.
Por otro lado, ExpressVPN ha resaltado casos en los que su política de no-logs fue puesta a prueba por gobiernos. Un ejemplo notable ocurrió en 2017 durante la investigación del asesinato del embajador ruso en Turquía. Las autoridades turcas incautaron un servidor de ExpressVPN buscando identificar quién había usado la VPN para eliminar evidencia en las cuentas del asesino. Al inspeccionar el servidor, no hallaron registros ni datos útiles para la investigación. ExpressVPN confirmó que, tal como indicaban sus políticas, el servidor no contenía ningún log de actividad o conexión de clientes, por lo que era imposible vincularlo con usuarios específicos. La empresa indicó que coopera con las autoridades cuando recibe requerimientos legales, pero al no poseer registros sencillamente no puede proporcionar información identificatoria. De hecho, Turkish police se fueron con las manos vacías, validando públicamente la promesa de privacidad de ExpressVPN en una situación de alta presión. Este incidente –junto a otros similares que han ocurrido según la compañía– refuerza su credibilidad entre quienes exigen garantías reales de no-logging.
Auditorías de seguridad y tecnologías empleadas
Para dar confianza técnica a sus promesas, ExpressVPN ha sometido su servicio a auditorías independientes. En 2019, PricewaterhouseCoopers (PwC) examinó sus servidores y verificó su política de no registros, confirmando que los procesos estaban configurados para no almacenar datos sensibles de clientes (informe citado por la empresa públicamente).
Igualmente, la extensión de navegador de ExpressVPN fue auditada por Cure53 en 2018, y más recientemente (2022) la empresa ha anunciado haber completado más de 20 evaluaciones externas de seguridad a lo largo de su historia. Además, ExpressVPN introdujo innovaciones como “TrustedServer”, una arquitectura en la cual todos sus servidores VPN funcionan exclusivamente en memoria RAM y nunca escriben datos en discos duros. Esta medida asegura que cualquier dato en un servidor se pierde al reiniciarlo o apagarlo, reduciendo drásticamente el riesgo de que información persista si un servidor es intervenido.
Desde 2019, todos los servidores de ExpressVPN operan bajo este modo de “infraestructura sin disco”, algo luego adoptado por varios competidores. La VPN también canaliza el tráfico DNS a través de sus DNS privados cifrados, evitando fugas a resolutores de terceros. En cuanto a características, ofrece split tunneling (permitir que ciertas aplicaciones no usen la VPN) y fuertes mecanismos de kill-switch (bloqueo de tráfico si la VPN cae). Gran parte de su software cliente es propietario, pero la empresa ha publicado resultados de auditorías y módulos específicos (como extensiones) para escrutinio.
Cambios de propiedad y contexto Five Eyes
La adquisición por Kape en 2021 fue el principal cambio corporativo en la historia de ExpressVPN. Esto la integró a un grupo que cotiza en bolsa en Londres y que está sujeto a las normativas del Reino Unido (miembro de Five Eyes). Pese a ello, ExpressVPN insiste en que su jurisdicción efectiva sigue siendo BVI, y que Kape respeta su autonomía operacional y políticas de privacidad. BVI no forma parte de acuerdos de inteligencia globales y no exige retención de datos, lo cual en teoría brinda un paraguas legal importante. Ahora bien, la doble influencia británica –por el origen de la nueva matriz y por la dependencia territorial de BVI del Reino Unido– es observada con cautela por algunos. Cabe señalar que no se ha reportado hasta ahora ninguna incidencia de colaboración forzada con agencias de inteligencia por parte de ExpressVPN; al contrario, el caso de Turquía demuestra su resistencia técnica a las solicitudes de datos. Su incorporación a una empresa mayor podría, según analistas, proporcionar más recursos para seguridad (por ejemplo, ampliar programas de recompensas por bugs o infraestructura), pero también demanda mantener una férrea postura pro-privacidad ante posibles presiones. En suma, ExpressVPN combina una trayectoria de confianza técnica (no logs verificado, servidores en RAM) con algunos desafíos reputacionales recientes (ejecutivo con pasado en espionaje, absorción por un grupo con pasado polémico). La transparencia continua a través de auditorías independientes y la comunicación franca con sus usuarios serán claves para sostener su credibilidad en el futuro.
NordVPN
NordVPN es operada por la empresa NordVPN S.A., establecida en Panamá en 2012, aunque forma parte del grupo tecnológico Nord Security, fundado por emprendedores lituanos. La elección de Panamá como país de registro obedeció a consideraciones de privacidad: Panamá está fuera de las jurisdicciones de vigilancia internacionales (no pertenece a Five/Nine/14 Eyes) y no impone leyes de retención de datos aplicables a servicios VPN. Oficialmente NordVPN afirma “operar bajo la jurisdicción panameña”, pero cabe aclarar que Nord Security tiene presencia internacional, con oficinas en Lituania, Reino Unido, Países Bajos y otros países europeos. De hecho, la empresa se originó en Vilna (Lituania) bajo el paraguas de una incubadora local llamada Tesonet. Esta conexión corporativa generó controversia en 2018: Tesonet es también una empresa involucrada en data mining (comercialización de grandes volúmenes de datos web bajo la marca Oxylabs). Documentos judiciales de un caso de patentes indicaron que Tesonet tuvo una “relación de negocios” con NordVPN, lo que llevó a especulaciones de que NordVPN podría formar parte de actividades de recopilación de datos. Competidores e investigadores (incluyendo el CEO de PIA, Andrew Lee) avivaron estas alegaciones en foros públicos en su momento. NordVPN respondió categóricamente que si bien mantiene “vínculos estrechos” con Tesonet, opera de forma independiente mediante la sociedad panameña Tefincom S.A. y que Tesonet nunca ha tenido propiedad legal de NordVPN. Según NordVPN, Tesonet les proveía algunos servicios de infraestructura y soporte bajo contrato, sin acceso a datos sensibles ni influencia en la política de no-registros. La empresa negó enfáticamente cualquier participación en el caso de Hola/Luminati que involucraba redirección de tráfico de usuarios (caso por el cual Tesonet fue demandada). Para despejar dudas, NordVPN anunció en 2018 la contratación de una de las cuatro grandes firmas auditoras para verificar su política no-log, marcando el inicio de una serie de auditorías externas periódicas. En resumen, NordVPN ha tenido que navegar sospechas derivadas de sus raíces empresariales en un entorno de adtech, pero se ha esforzado por demostrar su independencia operativa y compromiso con la privacidad mediante transparencia y auditorías.
En términos de estructura corporativa actual, NordVPN es uno de los productos estrella de Nord Security (antes NordSec), compañía que ha diversificado en otros servicios (gestor de contraseñas, cifrado de archivos, etc.). En 2022, Nord Security atrajo inversión externa por primera vez, recaudando $100 millones en una ronda de serie A que valoró la compañía en $1.600 millones. Parte de esos fondos se destinaron a expandirse mediante la fusión con Surfshark – otro proveedor de VPN originado en la región – bajo un mismo holding, anunciada en febrero de 2022. Tras esta fusión, NordVPN y Surfshark comparten propietarios pero operan como marcas separadas, con infraestructuras y políticas que convergen gradualmente (por ejemplo, ambos adoptan tecnologías de servidor similares). Para los usuarios, NordVPN sigue estando administrada principalmente por personal en Europa (Lituania) pero con su entidad legal en Panamá. Esta dualidad jurisdiccional significa que, si bien la empresa invoca la protección panameña, sus oficinas en países Fourteen Eyes (Reino Unido, Países Bajos, Lituania – este último cooperador con la UE/NATO aunque no formalmente en Nine Eyes) podrían estar sujetas a algunas leyes locales. No obstante, hasta la fecha NordVPN asegura no haber recibido órdenes legales que comprometan la privacidad de sus usuarios, y de hacerlo, podría recurrir al resguardo de su sede panameña.
Auditorías técnicas, no-logs y mejoras de seguridad
NordVPN ha puesto gran énfasis en respaldar técnicamente su promesa de “cero registros”. En noviembre de 2018 anunció que PricewaterhouseCoopers AG realizó una auditoría a sus servidores y verificó que efectivamente no registra actividad de los usuarios. Fue una de las primeras VPN en someter su política de no-logs a escrutinio de este nivel. Posteriormente, en 2020-21, NordVPN encargó a la firma de ciberseguridad VerSprite auditorías de seguridad de sus aplicaciones cliente, incluyendo pruebas de penetración; según el reporte, no se encontraron vulnerabilidades críticas y las pocas fallas menores halladas fueron parchadas de inmediato. La empresa también lanzó en 2019 un programa de recompensas (bug bounty) público para que investigadores reporten fallos.
Un punto de inflexión en sus prácticas de seguridad vino tras un incidente en 2018 (revelado en octubre de 2019) en el cual NordVPN sufrió un acceso no autorizado a un servidor en Finlandia. Un atacante explotó una herramienta de administración remota olvidada por el centro de datos arrendado, logrando comprometer ese servidor. NordVPN confirmó el hecho públicamente: el intruso pudo obtener un certificado digital interno (clave privada TLS) que potencialmente habría permitido montar un servidor falso e intentar interceptar tráfico. La empresa enfatizó que el servidor no contenía ningún log de actividad de usuarios ni credenciales, y que capturar tráfico real habría requerido un ataque man-in-the-middle muy sofisticado y limitado a una ventana corta. No hubo indicios de que el atacante efectivamente espiara datos de usuarios, pero la noticia causó comprensible preocupación entre clientes y expertos, pues evidenciaba vectores de ataque en la cadena de suministro de servidores. La respuesta de NordVPN fue contundente: inmediatamente aceleró su migración hacia servidores de “colocación propia” y sin disco (RAM-only). En 2019 anunció la implementación de servidores 100% operando en RAM y control total sobre la infraestructura en ubicaciones sensibles. También terminó contratos con centros de datos poco fiables e inició una rotación frecuente de claves. Desde octubre 2019, NordVPN ha revalidado su postura de seguridad con auditorías adicionales y comunicados transparentes. Para 2020, lanzó sus primeros servidores “colocated” en Finlandia, es decir, hardware propiedad de NordVPN en vez de arrendado, con acceso restringido, reforzando la seguridad física y administrativa.
En cuanto a tecnologías y características, NordVPN se destaca por innovar en protocolos: desarrolló NordLynx, su implementación personalizada de WireGuard, que introduce un sistema de doble NAT para evitar almacenar identificadores de usuarios en las sesiones. Esto permite aprovechar la velocidad de WireGuard manteniendo privacidad (WireGuard puro asignaba IP fijas a usuarios en el servidor, lo cual NordLynx resuelve dinámicamente sin registros). NordVPN también ofrece funciones avanzadas como Double VPN (encadenar dos servidores VPN para multi-hop en países diferentes), Onion over VPN (conexión directa a Tor tras el túnel VPN) y un bloqueador de malware/anuncios llamado Threat Protection, que desde 2022 incluye también antivirus opcional. Este módulo bloquea rastreadores web, URLs maliciosas y archivos infectados a nivel de cliente. NordVPN canaliza todas las consultas DNS por túneles cifrados a servidores propios, evitando filtraciones. La empresa ha publicado parte de su código: por ejemplo, su cliente para Linux es de código abierto (GPLv3) desde 2018, y ha liberado herramientas como un tester de velocidades en GitHub. La mayor parte de su infraestructura backend permanece cerrada por razones de seguridad, pero su enfoque en transparencia se refleja en la cantidad de auditorías externas y reportes de incidentes publicados.
Controversias
NordVPN ha demostrado un perfil pro-privacidad en políticas públicas. En 2019, cuando Rusia aprobó leyes que obligaban a las VPN a censurar sitios web prohibidos, NordVPN se negó a cumplir y cerró sus servidores en Rusia en abril de ese año. Prefirió dejar de operar físicamente en Rusia antes que someterse al registro estatal que hubiera comprometido su servicio. Del mismo modo, en 2022 India emitió normas que exigían a las VPN registrar datos personales de usuarios durante 5 años; NordVPN anunció de inmediato la retirada de sus servidores de la India para no violar su política de no-logs. Estos ejemplos destacan que NordVPN está dispuesto a abandonar mercados antes que modificar sus prácticas de privacidad, una postura bien vista por activistas digitales.
A pesar de ello, NordVPN ha enfrentado críticas por prácticas de mercadeo agresivas y asociaciones. Se le ha cuestionado patrocinar masivamente influencers y sitios de reseñas, lo cual algunos ven como conflictos de interés en la evaluación objetiva de VPN. Sin embargo, esto es un tema de imagen más que técnico. En el ámbito puramente de privacidad, la principal controversia fue la ya mencionada conexión con Tesonet y el incidente de seguridad de 2018. Tras superar esos episodios, NordVPN hoy goza de una reputación bastante sólida entre el público general, aunque los usuarios avanzados siguen monitoreando su desempeño. En abril de 2022, la marca recibió un espaldarazo al levantar inversión de renombre (incluyendo el fondo Novator de Islandia) con una valuación multimillonaria, lo que indica confianza en su crecimiento y quizás preludia una posible salida a bolsa en el futuro. Para inversores, NordVPN representa uno de los actores líderes en un mercado en auge, con ~14 millones de usuarios estimados globalmente.
En cuanto a su exposición a jurisdicciones de inteligencia, NordVPN sostiene que al estar radicada en Panamá no está sujeta a requerimientos de Five Eyes. Panamá no tiene acuerdos de intercambio de inteligencia similares y cuenta con protección constitucional a la correspondencia y comunicaciones privadas. Además, NordVPN no guarda datos útiles (como lo demostró en el incidente de hackeo: no había logs ni credenciales que exponer). Ahora bien, la presencia de personal e infraestructura en Europa implica que Nord Security podría recibir órdenes locales (por ejemplo, una orden del Reino Unido podría obligar a su oficina en Londres a colaborar). La compañía probablemente mitigaría esto separando la gestión de datos sensibles fuera de esas jurisdicciones, algo que su estructura distribuida facilita. Hasta ahora no se conoce ningún caso de NordVPN entregando información a autoridades. Un exabogado general de Estados Unidos llegó a afirmar en un caso (fuera de NordVPN) que “algunas VPN como NordVPN no retienen registros, por lo que no pueden responder a citatorios”, subrayando que incluso las fuerzas de seguridad son conscientes de esta limitación técnica. Por prudencia, los usuarios ultra cautelosos podrían preferir servicios en países aún más neutrales, pero NordVPN se ha posicionado como una opción que conjuga alto rendimiento y buenas prácticas de privacidad, con un historial que –salvo el percance de 2018– no registra brechas graves ni colaboraciones indebidas.
Surfshark
Surfshark irrumpió en la industria VPN en 2018, establecida originalmente en las Islas Vírgenes Británicas bajo el nombre Surfshark Ltd. Poco después, logró reconocimiento por su rápida evolución en características y precios competitivos. En octubre de 2021, Surfshark decidió reubicar su sede a la Unión Europea, trasladando la empresa a Países Bajos bajo la denominación Surfshark B.V.. La compañía explicó que los Países Bajos ofrecen un entorno legal sin obligación de retención de datos para servicios VPN y alineado con GDPR (lo cual protege la privacidad de usuarios). Esta mudanza a Europa la puso técnicamente en un país del grupo Nine Eyes, lo que generó preguntas en la comunidad, ya que BVI era considerado un refugio de privacidad. Surfshark defendió el cambio asegurando que no supone llevar registros – simplemente buscaban operar en un entorno más transparente y accesible para colaboraciones (y posiblemente para preparación de inversiones futuras). De hecho, la decisión coincidió con movimientos corporativos mayores: en enero de 2022, Surfshark anunció su fusión con Nord Security, la empresa madre de NordVPN. Esta fusión (estructurada como un acuerdo entre los accionistas de ambas compañías) unió a dos de las VPN de más rápido crecimiento bajo un mismo holding. Surfshark y NordVPN declararon que continuarían operando de forma independiente en cuanto a marcas, desarrollo de productos y políticas, pero compartirían know-how y algunos recursos técnicos. Desde entonces, se ha observado alineamiento en ciertas prácticas (por ejemplo, ambas adoptaron servidores solo-RAM, y funcionalidades como alertas de fugas de datos).
Antes de la fusión, Surfshark ya tenía oficinas en países como Lituania, Polonia y Alemania, reflejando que sus fundadores provenían de la misma región tecnológica que Nord (países bálticos). Se cree que Surfshark fue impulsada desde el inicio por talento lituano (algunos analistas especulan vínculos informales con Tesonet, dado personal en común, aunque la empresa en sí siempre se presentó como separada hasta la unión con Nord Security). Tras integrarse en 2022, hoy Surfshark pertenece al mismo grupo que NordVPN y por ende a los mismos dueños mayoritarios (fundadores y nuevos inversores de Nord Security). Para los usuarios e inversores, esto significa que NordVPN y Surfshark comparten respaldo financiero y desarrollos tecnológicos, aunque mantienen distintas estrategias de marketing y posicionamiento (NordVPN es más veterana, Surfshark apunta a un público joven con precios agresivos y extras incluidos).
En términos de jurisdicción, la entidad operativa de Surfshark está sujeta a las leyes neerlandesas. Países Bajos es miembro de Nine Eyes, pero también tiene tradición de respeto a la privacidad digital. No existen reportes de Surfshark siendo obligada a colaborar con agencias de inteligencia; la empresa afirma no haber recibido ninguna orden que comprometa sus principios, y en caso de recibirla, se espera que la impugnaría o, en último caso, cerraría operaciones en esa región antes de cumplir (postura que su hermana NordVPN demostró en India y Rusia). Por ahora, Surfshark opera en ~100 países y maneja su red desde la UE, sin incidentes legales conocidos.
Auditorías independientes y medidas de seguridad
Surfshark desde temprano buscó validación externa de su seguridad. En 2018, a solo meses de lanzarse, sometió sus extensiones de navegador (Chrome/Firefox) a una auditoría de Cure53, una firma alemana de ciberseguridad respetada. Los resultados fueron positivos, encontrándose solo 2 hallazgos de severidad baja, lo que dio credibilidad a la joven VPN. Posteriormente, en 2021, Surfshark invitó nuevamente a Cure53 a auditar su infraestructura y servidores VPN completos; esta auditoría de 2021 también concluyó sin vulnerabilidades críticas, evidenciando una madurez en sus prácticas de seguridad. Un paso importante fue a fines de 2022 cuando Surfshark anunció que Deloitte (firma Big Four) revisó su política de no-logs y configuración de servidores. En enero 2023 se confirmó que Deloitte no halló indicios de registros de usuarios en los sistemas de Surfshark, validando que su arquitectura está diseñada acorde a lo prometido (reporte disponible para clientes). Esto la equiparó con otras VPN mayores que también obtuvieron sellos “no-logs” por auditores (ExpressVPN, NordVPN, PIA, CyberGhost, etc.). Surfshark publica además un informe anual de transparencia con estadísticas de requerimientos gubernamentales recibidos (ej. solicitudes legales de datos) y cuántos pudieron cumplir; típicamente reporta cero datos proporcionados dado su no-logging.
En cuanto a tecnología de servidores, Surfshark adoptó rápidamente las mejores prácticas de la industria: desde 2020 migró toda su red a servidores “100% RAM”, eliminando discos duros locales. Cualquier reinicio borra todo contenido, mitigando riesgos de incautación. También implementó un sistema patentado llamado Nexus en 2022, que interconecta todos sus servidores en una red definida por software. Esto permite características avanzadas como IP Rotator (tu IP de salida puede cambiar dinámicamente durante una sesión sin desconectar) y MultiHop dinámico, donde el usuario puede salir por pares de países aleatorios para mayor anonimato. Estas capacidades diferencian a Surfshark en innovación. Adicionalmente, la VPN incluye “CleanWeb”, un bloqueador de anuncios, rastreadores y malware a nivel DNS para todo el tráfico que pasa por el túnel VPN. CleanWeb utiliza resolvers DNS propios que filtran dominios maliciosos, mejorando la privacidad y seguridad del usuario durante la navegación. Surfshark soporta los protocolos modernos OpenVPN, IKEv2 e introdujo WireGuard en 2020 para ofrecer altas velocidades con cifrado robusto.
Cabe resaltar que muchas de estas mejoras vinieron antes de su fusión con Nord, mostrando su compromiso en corto tiempo. Tras la alianza, es probable que Surfshark y NordVPN compartan futuros esfuerzos de auditoría y unifiquen estándares (de hecho, en 2023 ambos obtuvieron el distintivo de VPN Trust Initiative al aprobar evaluaciones de buenas prácticas). También en 2022, al igual que NordVPN, Surfshark retiró sus servidores de la India al no aceptar las nuevas reglas de retención de datos impuestas por el gobierno de ese país. Esto confirmó que la filosofía pro-privacidad de NordSecurity permea en Surfshark.
Controversias
Surfshark, al ser más reciente, no ha enfrentado grandes controversias públicas en términos de brechas de seguridad ni escándalos de privacidad. No se tienen registros de incidentes de hackeo o filtración de datos en sus servidores. Un factor que algunos vigilan es su rápido crecimiento mediante marketing – la VPN ganó mercado con agresivas campañas de descuentos de largo plazo, afiliados y presencia en YouTube, lo que le valió muchos usuarios pero también críticas sobre si tales precios sustentan el desarrollo seguro. Hasta ahora, han cumplido en invertir en seguridad (como demuestran las auditorías). Su integración con NordVPN generó algunas inquietudes iniciales en la base de usuarios sobre posible reducción de competencia o monopolio, pero de momento las dos marcas siguen diferenciadas en planes y enfoque, e incluso compiten en ciertos rankings. Para activistas y usuarios avanzados, Surfshark suele considerarse confiable aunque un escalón detrás de veteranos como ExpressVPN o ProtonVPN en cuanto a trayectoria. No obstante, su adopción de políticas transparentes (como publicar el código fuente de su herramienta de análisis de infraestructura, o su compromiso público con proyectos de derechos digitales) está cerrando esa brecha reputacional.
Legalmente, al estar en Países Bajos, Surfshark podría recibir órdenes de autoridades neerlandesas o europeas. Sin embargo, Países Bajos en 2023 no cuenta con leyes específicas que obliguen a VPN a almacenar datos. La UE presiona más bien por lineamientos voluntarios; a la fecha, no hay indicios de que Surfshark haya sido comprometida por algún requerimiento. De hecho, al ser miembro fundador de la VPN Trust Initiative, Surfshark se comprometió a defender estándares altos de privacidad, publicidad honesta y divulgación transparente en la industria. Su CEO ha manifestado en entrevistas el rechazo a iniciativas de vigilancia masiva. En conclusión, Surfshark ha pasado en poco tiempo de ser un recién llegado a formar parte de un gigante de las VPN (NordSec) – y lo ha hecho sin escándalos, con varias certificaciones de seguridad y una adopción entusiasta de tecnologías modernas de protección. Será importante observar cómo se mantiene independiente en operaciones y si continúa la racha de cero incidentes de seguridad reseñables, a la vez que navega las implicaciones de estar en un país Nine Eyes. Por ahora, los hechos verificables pintan a Surfshark como un servicio técnicamente sólido y alineado con principios de privacidad, respaldado por uno de los mayores actores del sector.
CyberGhost
CyberGhost es un proveedor veterano fundado en 2011 en Rumanía, inicialmente creado por emprendedores rumano-alemanes. Opera a través de CyberGhost S.A., con sede en Bucarest, y ganó fama temprana por ofrecer un servicio fácil de usar y proclamar una estricta política de no-logs amparada por las leyes rumanas (que, tras decisiones judiciales europeas, no obligan a retención de datos de usuarios de VPN). En 2017, CyberGhost fue adquirida por la entonces llamada Crossrider (renombrada luego a Kape Technologies) por unos 9.2 millones de dólares, marcando la entrada de Kape en el mercado VPN. Kape Technologies, con sede en Londres, es hoy la matriz de CyberGhost, así como de PIA, ExpressVPN y otras marcas de privacidad.
La historia corporativa de Kape afecta la percepción de CyberGhost: como se detalló, Kape (ex-Crossrider) estuvo asociada a distribución de adware en la década pasada. Si bien Kape afirma haberse reinventado desde 2018 como empresa de privacidad, algunos usuarios recibieron con recelo que una VPN de confianza como CyberGhost pasara a manos de un ex-“distribuidor de malware”. Kape buscó mitigar esas dudas manteniendo a CyberGhost como unidad separada – su desarrollo y operaciones permanecieron en Rumanía, con su propio equipo, aunque obviamente reportando a la dirección de Kape. Desde la adquisición, CyberGhost ha ampliado enormemente su base de usuarios (es uno de los servicios más populares en Europa) y su red de servidores globales, beneficiándose de la inversión de Kape.
Rumanía, donde sigue radicado, es un país fuera de Five/Nine/14 Eyes. Además, en 2014 su Corte Constitucional derogó la implementación local de la Directiva Europea de Retención de Datos, reafirmando que los ISPs/VPN no están obligados a guardar metadatos de tráfico. CyberGhost se apoya en esto para declarar que no guarda ningún registro de actividad o conexión identificable de sus clientes. De hecho, tras un intenso escrutinio en la UE sobre privacidad, Rumanía figura como un entorno favorable para un servicio de VPN (contrasta con países como Reino Unido o Australia con leyes más intrusivas).
En la actualidad, CyberGhost es totalmente propiedad de Kape, empresa listada en la bolsa de Londres. Esto significa que indirectamente está bajo jurisdicción del Reino Unido (Five Eyes) en cuanto a la compañía madre. Sin embargo, Kape ha optado por mantener cada marca en su jurisdicción original por ahora: CyberGhost sigue siendo operada por la entidad rumana, PIA por la entidad de EE.UU., ExpressVPN por la de BVI, etc.. Esta estructura dispersa podría verse como un mecanismo para aprovechar las fortalezas legales de cada ubicación (p. ej., BVI o Rumanía sin retención). No obstante, si mañana la casa matriz Kape recibiera una orden en Reino Unido referente a cualquiera de sus subsidiarias, la situación legal podría ser compleja – por ejemplo, una orden británica quizás no obligue a Rumanía a acatar, pero Kape podría decidir cooperar internamente. Es un escenario hipotético que inquieta a algunos puristas de la privacidad.
Política de privacidad y auditorías
CyberGhost ha intentado distinguirse por transparencia. Publica informes de transparencia anuales detallando cuántas solicitudes legales (policía, DMCA, etc.) recibe y cómo procedió. Invariablemente, reporta que no pudo atender tales solicitudes porque no lleva registros que vinculen IP o actividad a usuarios individuales. Esta afirmación fue recientemente fortalecida mediante una auditoría independiente de su infraestructura no-logs por Deloitte. En septiembre de 2022, CyberGhost invitó a Deloitte a inspeccionar sus servidores VPN y sistemas de gestión para verificar que no almacenan datos personales. La auditoría concluyó en enero de 2023 confirmando que “no hay nada que nos haga creer que la configuración de sistemas e infraestructura de CyberGhost no se corresponda con sus declaraciones de no-logs”, según reportó Deloitte. Es decir, los auditores no encontraron evidencia de ningún registro identificatorio guardado en los servidores. También validaron que los procesos operativos (acceso, gestión de cambios, etc.) respetan la privacidad prometida. Esta fue la segunda auditoría de no-logs que CyberGhost supera exitosamente (la primera fue en 2021, también por Deloitte Rumanía). Cabe mencionar que Kape ha extendido este proceso a sus otras marcas: PIA y ExpressVPN igualmente han pasado auditorías de no-logs con Big Four en 2022-2023, reforzando la credibilidad del conglomerado ante los escépticos.
En cuanto a seguridad técnica, CyberGhost declaró en 2019 que migraría hacia servidores de sólo memoria RAM. Para 2021-2022, confirmó que todos sus servidores funcionan dentro de contenedores efímeros sin almacenamiento persistente. Según explicó TechRadar, todos los servicios de CyberGhost corren en contenedores volátiles, lo que significa que “no hay discos duros adjuntos; al apagar o reiniciar, cualquier dato se esfuma”. Adicionalmente, la infraestructura está diseñada para registrar únicamente información mínima operativa en tiempo real, como número de conexiones por servidor (para balancear carga) y uso de ancho de banda en bruto, sin datos que puedan identificar a un usuario. Esto está en línea con estándares de la industria y fue verificado por los auditores. CyberGhost también ofrece servidores especializados llamados NoSpy dentro de Rumanía, que son de “propiedad y gestión 100% interna” (ubicados en su propio centro de datos privado) para usuarios que buscan máxima confianza. Aunque esto es más una iniciativa de marketing lanzada tras la adquisición por Kape, indica que controlan hardware crítico directamente en una jurisdicción segura.
En 2016, CyberGhost fue una de las primeras VPN en publicar el código fuente de su entonces nuevo sistema de profiltrado de anuncios (similar a un ad-blocker), demostrando su apuesta a la apertura. No obstante, sus aplicaciones principales no son de código abierto. A nivel de protocolo, soporta OpenVPN, IKEv2 y WireGuard (añadido en 2021). Ofrece también IP dedicadas opcionales mediante un sistema de token anónimo (el usuario adquiere un token y lo canjea en la app para asignarse una IP fija, de modo que ni siquiera CyberGhost puede vincular qué usuario recibió qué IP, ya que el token se canjea sin autenticación identificatoria). Esta innovación (similar a la que implementa PIA y otros) permite tener IP dedicadas sin sacrificar el anonimato. Además, la app incluye un bloqueador de contenido malicioso, compresión de datos para navegación móvil, y split tunneling en plataformas soportadas.
Controversias
CyberGhost en sí no ha tenido brechas de seguridad conocidas ni casos de filtración de datos de clientes. Uno de los pocos incidentes públicos fue en 2019 cuando se alegó que datos de usuarios de múltiples VPN habían sido expuestos en un leak; inicialmente rumores apuntaron a CyberGhost, pero resultó ser un caso relacionado con otro proveedor (un “clon” de baja reputación). CyberGhost negó cualquier fuga y no hubo evidencia en contra, quedando su historial relativamente limpio en ese aspecto. Otra polémica menor ocurrió en 2016, cuando la empresa decidió cerrar sus servidores en Rusia después de que ese país exigiera vigilancia, similar a lo que harían NordVPN y otros luego. CyberGhost no buscó mucha publicidad al respecto pero formó parte de la tendencia de retiro de VPN occidentales de Rusia por razones de privacidad.
La principal inquietud sobre CyberGhost vino de la mano de la percepción sobre su nueva propietaria, Kape. En 2019, cuando Kape anunció la compra de PIA (otra VPN muy respetada), la comunidad de privacidad montó en cólera recordando que Crossrider (Kape) distribuía malware años atrás. Este debate reavivó cuestionamientos sobre CyberGhost también: ¿podemos confiar en una VPN perteneciente a una firma con pasado turbio?. Los ejecutivos de CyberGhost argumentaron que Kape ha dado pasos para ganarse la confianza – por ejemplo, mantuvo el equipo de CyberGhost en Rumanía operando con autonomía y con financiamiento para proyectos como las auditorías de Deloitte, que un CyberGhost independiente quizá no podría costear. Kape de hecho contrató a personalidades de la industria de la privacidad (como el cofundador de ExpressVPN, Harold Li, ahora en su directorio) para fortalecer su imagen. En comunicaciones oficiales, CyberGhost asegura que Kape ha respetado sus prácticas de privacidad y las ha elevado a estándares públicos. Dado que tras varios años no ha surgido ningún escándalo concreto de mal uso de datos en ninguna marca de Kape, parte del escepticismo inicial se ha atenuado. Aún así, es comprensible que usuarios extremadamente focalizados en seguridad prefieran VPN independientes.
En la práctica, Rumanía permanece como un baluarte legal para CyberGhost: no pertenece a Fourteen Eyes, no ha implementado propuestas de censura como otros países, y su agencia de inteligencia (SRI) no tendría fácil acceso a datos de CyberGhost sin orden judicial, la cual difícilmente prosperaría al no haber registros. Incluso si Kape en UK recibiera una solicitud, no podría extraer logs inexistentes. Un evento que se monitoreará es la intención de Kape de integrar o unificar servicios. En 2021, Kape adquirió también varias webs de reseñas de VPN, lo que generó críticas de conflicto de interés. Aunque esto no afecta directamente a CyberGhost técnicamente, sí al ecosistema en que compite. Para inversores, tener a CyberGhost, ExpressVPN y PIA bajo un mismo techo crea sinergias (6+ millones de usuarios combinados en 2021, según Kape), pero para usuarios es menos diversidad de elección real.
Resumiendo, CyberGhost se mantiene como una VPN confiable con larga trayectoria, ahora respaldada por un grupo grande. Ha demostrado su compromiso de no-logs ante auditores externos, implementado infraestructura segura (RAM-only) y navegado los cambios corporativos sin incidentes de seguridad. Su mayor desafío es convencer al sector más crítico de la comunidad de privacidad de que su pertenencia a Kape no compromete su integridad. Hasta el momento, los hechos respaldan sus promesas: ni filtraciones, ni entregas de datos, ni puertas traseras conocidas. Mientras mantenga este récord y continúe publicando warrant canaries o informes de transparencia, CyberGhost seguirá siendo una de las opciones masivas de VPN más respetadas en el mercado europeo.
Private Internet Access (PIA)
Private Internet Access (PIA) fue fundada en 2010 en EE.UU. (California) bajo la empresa matriz London Trust Media, Inc. – un nombre curioso dado que era esencialmente americana (el “London” se debe a un proyecto previo de los fundadores). PIA se ganó tempranamente la lealtad de usuarios tecnófilos por su fuerte postura de privacidad: fue de las primeras VPN en open source sus clientes (código de sus apps de escritorio y Android publicado en GitHub desde 2018), y en aceptar pago anónimo vía criptomonedas y tarjetas regalo. PIA operó independientemente durante casi 9 años, creciendo a millones de suscriptores, hasta que en noviembre de 2019 anunció su fusión con Kape Technologies. Kape adquirió PIA por $95.5 millones, consolidando así otra marca de prestigio bajo su cartera. Desde entonces, PIA es propiedad al 100% de Kape (UK). Tras la compra, Kape integró también otros activos de PIA, como su software antivirus Intego y el portal de noticias Privacy News Online.
PIA, antes de la adquisición, ya tenía ciertas conexiones corporativas interesantes. Su fundador, Andrew Lee, es un entusiasta del software libre y la criptografía; fue copropietario de la red de chat Freenode (lo que derivó en drama en 2021 cuando transfirió su gestión, pero eso es ajeno a la VPN). En 2018, PIA sorprendió al nombrar como CTO a Mark Karpelès, ex-CEO de Mt. Gox (la famosa casa de cambio de Bitcoin que colapsó en 2014 tras un mega-robo). Karpelès estaba bajo condena en Japón por negligencia en Mt. Gox, así que su fichaje generó controversia, aunque PIA afirmó que su expertise técnico sería valioso. Karpelès duró poco en el cargo y no hubo incidentes conocidos relacionados con él en PIA, pero es un ejemplo de cómo PIA ha tenido un perfil corporativo excéntrico. Otro dato: PIA fue creada parcialmente para proteger a usuarios de IRC (Internet Relay Chat), ya que Andrew Lee estaba preocupado porque las IP de usuarios se exponían en esos canales. De hecho, PIA nació con la misión de hacer mainstream la privacidad en línea.
Desde 2019 bajo Kape, PIA se beneficia de pertenecer a un grupo mayor (compartiendo recursos con CyberGhost, ExpressVPN, etc.). Su empresa legal sigue siendo la estadounidense LTM, Inc. con sede en Colorado, lo que significa que está sujeta a la jurisdicción de EE.UU. (miembro de Five Eyes). Esta situación de VPN estadounidense siempre ha sido un arma de doble filo: por un lado, PIA ha sido muy vocal en defender que estar en EE.UU. no impide ser no-logs, citando que “si no almacenamos nada, nada podemos entregar incluso bajo orden”. Y lo han demostrado en la práctica (ver siguiente sección). Por otro lado, EE.UU. tiene agencias de inteligencia poderosas y un historial de vigilancia masiva (programa PRISM, etc.), por lo que algunos usuarios internacionales recelan de cualquier servicio con sede allí. PIA, consciente de esta percepción, publicó un artículo llamado “5 mitos realmente erróneos sobre las VPN con base en EE.UU.” argumentando que la localización geográfica importa menos que las medidas técnicas. En 2020, tras la adquisición por Kape, PIA introdujo nuevos servidores en ubicaciones adicionales (aprovechando la red de CyberGhost) y renovó su red a lo que llaman NextGen Network, con mejores hardware y muchos servidores operando en RAM.
Política de no-registros probada en tribunales
PIA destaca por ser una de las pocas VPN cuyos alegatos de “no-logs” han sido comprobados en tribunales públicos en más de una ocasión. Un ejemplo temprano ocurrió en 2016: el FBI solicitó datos de PIA durante una investigación de amenazas de bomba (caso *U.S. vs. Cox, Distrito de Massachusetts). PIA respondió que no podía vincular las IP de su servicio con usuarios porque simplemente no guarda esos registros. En 2018, otro caso resonante reafirmó esto: en un juicio por hacking en California (U.S. vs. Colby), se presentó evidencia de que ciertas IP usadas en intrusiones pertenecían a nodos de PIA. Llamado a testificar, John Arsenault – consejero general de PIA – declaró bajo juramento que PIA “no retiene registros de las actividades de sus clientes”. Explicó al jurado que, al no guardar logs de conexión ni de tráfico, PIA no podía proporcionar información útil en respuesta a un subpoena. También añadió que PIA acepta múltiples métodos de pago (incluyendo criptomoneda) y no requiere nombre real – solo un email – para registrarse, y que en sus sistemas solo obra el correo electrónico del cliente y nada más. En el mismo caso se comprobó que el FBI pudo obtener evidencias vía el ISP local del acusado, pero no a través de PIA. El juez y jurado tomaron nota de que PIA no podía vincular las actividades maliciosas con un sospechoso por diseño, reforzando su aseveración de no-logs. En su reseña del juicio, el medio TorrentFreak resaltó que era ya la segunda vez que PIA pasaba esta prueba en corte “con matrícula de honor” (la primera vez fue en un caso de 2015 en la corte del Distrito Sur de Nueva York, también confirmando que no tenían datos identificatorios que entregar).
Este historial es citado con orgullo por PIA en su web oficial: “PIA es una de las pocas VPN cuya política de cero registros ha sido probada en la vida real – fuimos citados varias veces y nunca pudimos proporcionar registros, porque no los tenemos”. Para muchos activistas de privacidad, esto es más convincente que cualquier auditoría. Aún así, PIA también optó por la ruta de las auditorías independientes. En 2022, bajo la égida de Kape, invitaron a Deloitte a auditar su red y sistemas. Deloitte Audit Romania emitió en julio 2022 un informe afirmando que al 30 de junio de 2022, la configuración de servidores de PIA se alinea con sus políticas internas de privacidad y “no está diseñada para identificar usuarios o sus actividades”. Esto en esencia certifica que no hay logs almacenados ni mecanismos ocultos de identificación. Si bien PCMag en 2021 había criticado que PIA aún no hubiera pasado por una auditoría externa, esta ya se concretó y PIA publicó un resumen de la misma, elevando su credibilidad ante usuarios más convencionales.
Seguridad técnica y características
PIA siempre ha tenido un perfil más austero en marketing pero robusto en lo técnico. Fue pionera en implementar un kill-switch fiable en sus apps para evitar fugas de IP ante caídas de la VPN. También introdujo temprano su función PIA MACE, un bloqueador de dominios de publicidad y malware a nivel DNS integrado en la VPN (desde ~2017). Esta funcionalidad similar a la CleanWeb de Surfshark o Threat Protection de Nord, bloquea de forma transparente solicitudes a trackers conocidos cuando navegas, sin necesidad de extensiones adicionales. PIA adoptó WireGuard muy rápido tras su estabilización (en 2020) y colaboró con el autor de WireGuard, Jason Donenfeld, para integrarlo de manera que no comprometiera el anonimato. De hecho, PIA patrocinó parte del desarrollo de WireGuard.
En 2020 migró a su mencionada NextGen VPN Network, reemplazando servidores antiguos por otros nuevos con cifrado de disco completo, mayor capacidad (puertos de 10 Gbps) y muchos operando como servidores RAM-disk (sin almacenamiento persistente). Kape ha informado que a finales de 2021 completaron la transición de PIA a servidores volátiles similares a ExpressVPN. Además, PIA extendió su red global a más de 84 países, incluyendo ubicaciones antes no cubiertas.
El software de PIA ha sido todo open source desde 2018: “desktop client & Android under GPLv3, iOS under MIT”, algo que pocas VPN de gran escala han hecho. Esto permite a terceros auditar el código por puertas traseras (y en efecto, la comunidad ha contribuido correcciones a PIA a través de GitHub). PIA mantiene repos públicos donde se ve su compromiso continuo con esta transparencia de código. PIA también publica periódicamente su “Warrant Canary”, un aviso en su sitio indicando que hasta la fecha no ha recibido órdenes de tipo Patriot Act, NSL u órdenes con prohibición de divulgación. Si alguna llegara, se comprometen a eliminar el canario, lo que alertaría indirectamente a los usuarios. Hasta ahora, nunca han tenido que quitarlo (lo actualizan mensualmente indicando “ninguna orden secreta recibida”).
Un punto a destacar: PIA ha respondido con acciones frente a políticas anti-privacidad en distintos países. En 2016, cuando Rusia demandó a las VPN cooperar con la censura, PIA fue de las primeras en cerrar todos sus servidores en Rusia y salir del país, declarando públicamente que “no accedemos a censura ni vigilancia, por tanto nos retiramos” (y reembolsó a usuarios rusos). Lo mismo repitió en 2020 con sus servidores en Hong Kong después de la ley de seguridad china; PIA predijo que la nueva ley podría forzar a empresas a entregar datos, así que prudentemente cesó operaciones allí. Este activismo pro-privacidad ha reforzado su imagen de servicio ético.
Fusiones, controversias y Five Eyes
La integración en Kape (2019) generó controversia en foros, con usuarios preocupados de que PIA “hubiera vendido a una compañía de historial cuestionable”. PIA trató de tranquilizarlos con un comunicado en Reddit titulado “Nuestra fusión con Kape Technologies – atendiendo a sus preocupaciones”. En esencia, aseguraron que su equipo y principios seguían intactos, y que Kape aportaría recursos para mejorar infraestructura sin interferir en la política de no-logs. Reconocieron el pasado de Crossrider pero pidieron ser juzgados por acciones presentes. Con el tiempo, parece que PIA no ha sufrido cambios negativos en su servicio: al contrario, mejoró técnicamente (red NextGen, más servidores) y validó su no-logs con auditoría. No ha habido informes de usuarios abandonando PIA por problemas posteriores a la compra; la mayoría de críticas siguieron viniendo de competidores o puristas que prefieren no estar bajo Kape por precaución.
Operar en Estados Unidos (Five Eyes) siempre será un tema sensible para PIA. Sin embargo, irónicamente, PIA ha demostrado en suelo estadounidense su lealtad a los usuarios al no entregar datos incluso ante investigaciones serias. De hecho, el caso de 2018 en San José llevó a la desestimación de uno de los cargos graves contra el acusado, en parte porque no se pudo obtener evidencia de los accesos vía VPN gracias a la ausencia de logs. Esto es un claro ejemplo de cómo la jurisdicción Five Eyes pierde peso si la arquitectura no permite vigilancia. Un fiscal podría exigir a PIA “entréguenos lo que tenga”, y PIA solo puede dar un puñado de bytes inútiles (correo electrónico del cliente y fecha de suscripción).
Cabe mencionar que EE.UU. no tiene leyes que obliguen retención de datos VPN a nivel federal. Tiene, eso sí, órdenes secretas (NSL) que pueden forzar la vigilancia en tiempo real. Aquí el canary de PIA juega un rol: hasta ahora, no hay señal de una NSL recibida. Si algún día las autoridades estadounidenses le entregaran una orden de registrar la actividad futura de un usuario en particular, PIA técnicamente no está equipada para hacerlo (tendría que modificar su sistema, algo que, de hacerse, seguramente se filtraría). PIA tendría la opción de luchar legalmente o simplemente cerrar la empresa antes de volverse cómplice – una medida extrema pero posible (LavaBit, un servicio de email seguro de EE.UU., hizo algo así en 2013 cuando el FBI quiso su clave maestra: prefirió cerrarse). Dados los antecedentes de los fundadores de PIA, es de esperar que ellos plantarían cara a cualquier intento de cooptación.
En resumen, PIA combina la robustez técnica de un servicio no-logs bien verificado con el “riesgo percibido” de estar basada en un país de Five Eyes. Hasta ahora, han manejado muy bien ese riesgo, transformándolo incluso en casos de éxito judicial demostrando su seriedad. Tras su adquisición, no se conocen controversias nuevas; más bien PIA sigue recibiendo buenas calificaciones en reseñas (4/5 en TechRadar 2021, destacando su kill switch, torrent amigable y no-logs, con la única crítica de que para 2021 aún no tenía auditoría – crítica ya solventada con Deloitte). Para inversores, PIA es parte integral de la estrategia de Kape para dominar el sector VPN en Norteamérica; su base de usuarios leales y su reputación ganada a pulso la hacen un activo valioso. Para los usuarios y activistas, PIA sigue siendo una de las VPN “clásicas” de confianza, con un largo historial de defender la privacidad incluso bajo presión legal. La clave será monitorear que Kape mantenga intactas esas políticas en el largo plazo, y que PIA siga innovando en transparencia (p.ej., continuando con su práctica de open-source y publicando resultados de futuras auditorías). Por ahora, los hechos verificables avalan que PIA no solo promete privacidad, sino que la ha respaldado en la arena más exigente: la corte de justicia.
ProtonVPN
ProtonVPN es el servicio de VPN lanzado en 2017 por la misma compañía detrás de ProtonMail (el popular proveedor de email cifrado). Su empresa matriz es Proton AG, con sede en Ginebra, Suiza. Proton fue fundada en 2014 por científicos del CERN (Andy Yen, Jason Stockman y otros) con el objetivo de proveer comunicaciones seguras y privacidad en línea como respuesta a los programas de vigilancia masiva revelados por Snowden. Esta herencia influye fuertemente en la cultura de ProtonVPN: se maneja casi como un proyecto activista-tecnológico, priorizando la privacidad incluso sobre consideraciones comerciales.
Suiza fue elegida deliberadamente por Proton por su marco legal favorable. Suiza no pertenece a Five, Nine ni Fourteen Eyes, y tiene leyes de protección de datos muy estrictas. Asimismo, aunque coopera internacionalmente en casos criminales, no está obligada por las directivas de la UE ni por acuerdos de inteligencia como los de EE.UU./Reino Unido. En 2010 Suiza revisó su Ley de Vigilancia (BÜPF) para exigir retención de metadatos a proveedores telecom tradicionales, pero los servicios “meramente transportadores” de datos (como VPN) no están obligados a retener tráfico. ProtonVPN está categorizado como tal, a diferencia de ProtonMail que al ser correo electrónico entra en otra categoría legal. Esto significa que ProtonVPN legalmente puede operar sin guardar ningún log de conexión y Suiza no puede obligarla a hacerlo excepto mediante una ley nueva (poco probable en su contexto). De hecho, ProtonVPN declara explícitamente que no guarda logs de IP asignadas, ni timestamps de conexiones ni peticiones DNS.
La reputación de ProtonMail/ProtonVPN es muy alta entre activistas, pero no exenta de controversia. En 2021, ProtonMail enfrentó críticas luego de que, por orden de autoridades suizas derivada de una petición de Europol, se vio obligada a registrar la dirección IP de un activista francés que usaba ProtonMail, lo cual llevó a su arresto. ProtonMail no cifraba la IP de origen (por diseño, para mitigación de spam) y acató la orden tras agotar apelaciones, ya que en Suiza los servicios de email están sujetos a cooperar en investigaciones de delitos graves. Proton explicó que legalmente no pudo negarse, pero subrayó que ProtonVPN, en cambio, no puede ser compelida de la misma forma. Indicó que si el activista hubiera usado ProtonVPN, su identidad hubiera estado mejor protegida, pues Suiza no suele aplicar vigilancia a VPN sin logs y preferiría otros métodos. Aun así, este incidente fue un toque de atención: mostró que ninguna jurisdicción es infalible si hay presión legal suficiente. Proton tomó medidas: agregó la opción de usar ProtonMail vía Tor y reforzó su transparencia en informes. En cuanto a ProtonVPN, hasta la fecha no se conoce caso público similar con ellos, sugiriendo que no han recibido órdenes que comprometan su servicio (y posiblemente, si llegaran, ProtonVPN podría optar por apagar servidores específicos antes que implementar logs, dado su ethos).
ProtonVPN en 2020 se integró más estrechamente con ProtonMail bajo el paraguas Proton AG; ofrecieron planes combinados y unificaron cuentas. No ha habido cambios de propiedad externos – Proton sigue siendo independiente, financiada por sus usuarios (aunque recibió en sus inicios subvenciones de instituciones como el MIT/ETH Zürich y financiamiento de la UE para desarrollo de tecnologías de cifrado). Esto tranquiliza a sus usuarios, pues no depende de grandes corporaciones o capital riesgo con posibles agendas ocultas. En 2022-2023 Proton AG sí buscó inversión de crecimiento (reportes hablan de ~$50M levantados de fondos suizos y europeos), pero los fundadores mantienen control mayoritario y la empresa sigue registrada en Suiza.
Auditorías de seguridad y código abierto
ProtonVPN ha sido un fuerte defensor del Open Source. En enero de 2020, ProtonVPN liberó el código fuente de todas sus aplicaciones (Windows, macOS, Android, iOS, Linux) y simultáneamente publicó los resultados de auditorías de seguridad independientes realizadas por la firma SEC Consult. Este movimiento –ser la “primera VPN en hacer open source todos sus clientes”– fue elogiado ampliamente. Las auditorías, cuyos resúmenes son públicos, encontraron únicamente vulnerabilidades de baja y media gravedad en algunas aplicaciones, las cuales Proton corrigió de inmediato. Por ejemplo, en la app Windows 1.2 se hallaron un par de vectores de escalación local, ya parchados para la versión 2.0. SEC Consult concluyó que la seguridad general era sólida. En cada repositorio de ProtonVPN en GitHub, uno puede encontrar un Security Assessment Summary. Esta transparencia permite a la comunidad inspeccionar continuamente el código en busca de mejoras o potenciales fallos, dando un nivel de confianza muy alto. ProtonVPN también mantiene un programa de bug bounty para investigadores.
Además de auditar aplicaciones, ProtonVPN ha sometido a revisión su infraestructura. En 2022, la empresa Securitum llevó a cabo una evaluación de penetración sobre los componentes servidores que implementan la funcionalidad de Secure Core (ver más adelante), sin que se divulgaran problemas críticos. Y en 2023, Cure53 auditó la seguridad de su nueva aplicación de línea de comando para Linux, igualmente con buenos resultados. Proton publica whitepapers detallando su arquitectura y amenaza modelo para escrutinio público.
En cuanto a avances técnicos, ProtonVPN implementó en 2023 un sistema de cifrado post-cuántico (basado en algoritmos candidatos del NIST) como opción en sus túneles WireGuard para usuarios de Linux, anticipándose a futuras amenazas criptográficas. También lanza con frecuencia innovaciones en su infraestructura de censura: tiene servidores Stealth diseñados para eludir bloqueos en países como China e Irán (usando obfsproxy y técnicas de camuflaje de tráfico DPI). Estas mejoras a menudo son probadas primero por activistas y luego integradas en la app principal.
ProtonVPN utiliza exclusivamente servidores dedicados de alta seguridad en centros de datos de confianza (evita VPS virtuales). Varios de sus servidores “núcleo” se encuentran en búnkers físicos: por ejemplo, tienen uno en un antiguo refugio militar en las montañas suizas, y otro en un datacenter bajo 1 km de roca en Islandia, destacando la protección física como parte de su propuesta. Algunos de estos centros son los utilizados para Secure Core.
Funciones destacadas: Secure Core y política de cero-logs
Una de las características insignia de ProtonVPN es Secure Core, un diseño de multi-hop que enruta el tráfico del usuario primero a través de un servidor ultra-seguro en Suiza, Suecia o Islandia, y de ahí hacia la ubicación VPN de destino final. La idea es mitigar la amenaza de que un servidor VPN en un país de riesgo esté comprometido: incluso si un adversario controlara un nodo de salida (digamos en Turquía), el tráfico ya habría pasado por un servidor “core” operado por Proton en un lugar seguro (p.ej. su búnker suizo), de modo que la IP real del usuario nunca aparece en el servidor de Turquía. Secure Core ofrece una doble capa de privacidad y está disponible para usuarios de planes Plus/Visionary. Internamente, implica que ProtonVPN mantiene su propia red interna entre centros en esos países de confianza y el resto de nodos. Este enfoque refleja la paranoia constructiva de Proton.
ProtonVPN también provee de serie un bloqueador de anuncios y rastreadores llamado NetShield, que filtra dominios de malware, phish y ad-tracking mediante DNS. Es configurable en tres niveles (desactivado, bloquear malware, bloquear malware+ads) y se ejecuta en los servidores VPN, mejorando rendimiento frente a extensiones locales. Otra función útil es el VPN Accelerator, que optimiza las conexiones OpenVPN usando multihilos y tuneos TCP, mejorando velocidades hasta 400% en conexiones de larga distancia (Proton publicó un blog técnico sobre esta mejora en 2021).
En cuanto a su promesa de no-logs, ProtonVPN afirma no registrar ni retener ninguna información de sus usuarios, salvo lo estrictamente necesario para la suscripción (correo electrónico de cuenta, datos de pago). No registra metadatos de conexiones ni ancho de banda consumido. Su política de privacidad es muy clara al respecto. Esto ha sido indirectamente validado: en 2019, las autoridades rusas intentaron bloquear ProtonVPN (así como ProtonMail) cuando la empresa se negó a colaborar con la censura; ProtonVPN informó a los usuarios rusos de formas de evadir el bloqueo y nunca cedió. Asimismo, ha habido intentos de censura en Irán, y ProtonVPN convirtió su página de status en un mirror accesible para guiar a usuarios iraníes. Hasta hoy, ProtonVPN no ha protagonizado casos donde se comprometiera la privacidad de clientes por acción propia o brecha. En su informe de transparencia, Proton señala cuántas órdenes legales recibe (muy pocas, típicamente) y que hasta ahora ninguna ha podido ser cumplida con datos de usuario, porque no existen.
Una anécdota: en 2020, el Ministro del Interior de Francia criticó públicamente que terroristas supuestamente usaban ProtonVPN para ocultarse. Proton respondió que condena cualquier uso criminal, pero recordó que todos los proveedores VPN y de comunicaciones pueden ser usados para bien o mal, y que debilitar la privacidad general no es la respuesta. La comunidad en línea salió en defensa de ProtonVPN en esa ocasión, considerándola más segura que servicios franceses que sí guardan logs.
Consideraciones finales (fusiones e inversores)
A diferencia de las demás VPN en este informe, ProtonVPN no ha cambiado de manos ni se ha fusionado con otras empresas VPN. Mantiene su independencia y su modelo freemium (tiene un plan gratuito limitado, lo cual la hace accesible para activistas en países represivos). ProtonVPN colabora estrechamente con la comunidad de privacidad: en 2023 unió fuerzas con la organización Mozilla, quien la recomendó en su navegador Firefox a ciertos usuarios, y con el navegador Brave, que añadió un acceso rápido a ProtonVPN. También, Proton y Mullvad lanzaron conjuntamente en 2023 una iniciativa llamada “VPN Alternatives” para promocionar la idea de que los usuarios pueden confiar en VPN transparentes en lugar de proxies poco seguros.
Para inversores, ProtonVPN es parte de Proton AG, que aunque rentable, reinvierte la mayoría de ingresos en desarrollo. Sus últimos movimientos (nuevas oficinas en Vilna, Praga; más de 400 empleados en 2025) indican que está escalando para competir con los líderes comerciales. Proton siempre enfatiza que su prioridad es ofrecer seguridad avalada científicamente más que crecimiento a cualquier costo. Esto la mantiene en un segmento premium de reputación, compitiendo directamente con Mullvad, IVPN y otras VPN preferidas por la comunidad de software libre.
En el aspecto Five Eyes: Suiza permanece fuera de alianzas de inteligencia, pero tiene acuerdos de cooperación legal puntuales. No está alineada automáticamente con la UE en vigilancia (no es miembro de la UE), lo cual hasta ahora ha jugado a favor de ProtonVPN. Por ejemplo, Suiza se negó a implementar la directiva de retención de datos de la UE. El único riesgo sería si Suiza endurece sus leyes por presión (en 2020 hubo debates para ampliar capacidades de inteligencia interior, pero no apuntan a VPNs). ProtonVPN se ha mostrado dispuesta a enfrentar políticamente cualquier intento así, e incluso a reubicar servidores críticos si fuera necesario. Dada la fuerte base de usuarios global confiando en ella (ProtonMail/VPN suman sobre 70 millones de cuentas), es improbable que Suiza, que se precia de refugio de privacidad, tome medidas que ahuyenten a Proton.
En conclusión, ProtonVPN sobresale por su transparencia, innovación en seguridad y arraigo en una jurisdicción neutral. Su mayor reto ha sido educar al público sobre las diferencias legales entre su VPN y su correo (a raíz del caso de 2021), pero lo ha afrontado con más comunicación. Los hechos muestran que ProtonVPN no ha comprometido a sus usuarios; al contrario, ha invertido en protecciones adicionales (Secure Core, open source, auditorías) para blindarse ante amenazas estatales o de terceros. Es considerada una VPN de altísima confianza por periodistas, activistas y criptógrafos, a la altura de Mullvad o IVPN, y su continuo compromiso con la comunidad (ej. cooperando con el Proyecto Tor) refuerza esa posición.
Mullvad
Mullvad VPN es un proveedor sueco fundado en 2009, operado por la empresa Amagicom AB con sede en Gotemburgo, Suecia. “Mullvad” significa topo en sueco, reflejando quizás su objetivo de hacer al usuario “invisible” bajo tierra. Mullvad es célebre en la comunidad de privacidad por su enfoque radicalmente anónimo y transparente. Por ejemplo, no requiere ni correo electrónico ni ningún dato personal para crear una cuenta: el sistema simplemente genera un número aleatorio de cuenta y esa es toda la identificación que el usuario necesita. Mullvad acepta pagos en efectivo enviados por correo postal (incluso billetes sin remitente, sumando saldo a la cuenta anónima) – literalmente se pueden enviar €5 en un sobre a Suecia y recargar la VPN sin dejar rastro. También acepta Bitcoin, Monero, transferencias, etc. Esto muestra hasta qué punto Mullvad busca minimizar la información que posee de sus clientes.
Suecia es la jurisdicción base de Mullvad. Ahora bien, Suecia es parte de la alianza de los 14 Eyes (como miembro de la red de inteligencia “SIGINT Seniors Europe”). Esto genera la paradoja de que una de las VPN más privadas esté en un país de la alianza de inteligencia occidental. Sin embargo, la situación legal interna es compleja: Suecia implementó leyes de retención de datos para ISPs en 2012 (tras la directiva europea), pero los servicios VPN no se consideran operadores de comunicaciones electrónicas a efectos de retención obligatoria. Mullvad confirma que no está sujeta a ninguna ley local que le exija registrar actividad de usuarios. Además, Suecia tiene protecciones constitucionales robustas en cuanto a privacidad y transparencia gubernamental.
La prueba de fuego vino en abril de 2023, cuando la policía sueca presentó una orden de registro contra las oficinas de Mullvad en Gotemburgo con la intención de incautar equipos y buscar datos de usuarios. Mullvad lo anunció públicamente: “el 18 de abril seis agentes acudieron con una orden de registro buscando información de clientes”. El equipo legal de Mullvad argumentó in situ que la orden era infundada, dado que la empresa no almacena logs ni datos personales que cumplieran el objetivo de la orden. Tras explicar a los policías cómo funciona su servicio y consultar estos con el fiscal, los agentes se marcharon sin llevarse nada. Mullvad declaró que ningún dato de cliente fue comprometido ya que, efectivamente, no había nada útil que incautar. Este incidente fue cubierto por medios internacionales como The Verge, resaltando que Mullvad “permaneció fiel a su política de no-logs y gracias a ello la policía se fue con las manos vacías”. Más tarde Mullvad solicitó formalmente los documentos del caso para revisarlos y aseguró que continuaría mejorando sus medidas para que ninguna intervención física pudiera afectar la privacidad de clientes. Esta redada fallida demostró en la práctica la robustez del modelo de Mullvad, similar a los casos de PIA en EE.UU.: si no hay datos almacenados, un allanamiento no puede revelar identidades. La policía buscaba atajos que Mullvad no proporciona.
Mullvad se mantiene 100% independiente. No ha aceptado adquisiciones ni fusiones. Sus fundadores (Fredrik Strömberg y Daniel Berntsson, entre otros) siguen al mando y la empresa permanece pequeña (alrededor de 40 empleados). El modelo de negocio de Mullvad es cobrar una tarifa plana baja (€5/mes) y reinvertir en infraestructura y desarrollo, sin gastos en marketing extravagante. De hecho, Mullvad no tiene programa de afiliados ni publicidad: su crecimiento ha sido orgánico, de boca en boca entre entusiastas de la privacidad. Esta postura contrasta con proveedores como Nord o Express que invierten mucho en marketing; Mullvad prefiere gastar en seguridad.
Auditorías, código abierto y seguridad
Mullvad ha sido auditada por terceros en varias ocasiones. En 2018, Cure53 auditó su aplicación (en colaboración con Assured AB) encontrando algunas fallas no críticas que fueron solucionadas. En 2020, la firma sueca Assured AB auditó la infraestructura de servidores de Mullvad (particularmente, verificando la ausencia de registros y la seguridad de su configuración OpenVPN/WireGuard). Mullvad publicó un resumen indicando que la auditoría fue satisfactoria y confirmó su nivel de seguridad. Además, Mullvad tiene un historial de participación en investigaciones académicas: ha colaborado con universidades en estudios sobre tráfico VPN, e incluso mantuvo un research blog con hallazgos (ej., en 2020 divulgaron un bug en WireGuard juntos con estudiantes).
Importante: Todas las aplicaciones cliente de Mullvad son de código abierto (GPL v3). Esto incluye su software para Windows, macOS, Linux, Android e iOS. Mullvad aloja el código en GitHub y actualiza allí. Gracias a esto, en 2022 unos investigadores de Atos encontraron dos vulnerabilidades en la app Windows (CVE-2022-1245 y 2022-1686) relacionadas con permisos de directorios y potencial escalada local. Mullvad las corrigió y mencionó que ninguna permitía comprometer tráfico o filtraciones IP, solo afectaban al sistema local si alguien ya tenía acceso (riesgo limitado). No hubo explotación real conocida. La respuesta rápida de Mullvad se debió a que la comunidad podía auditar el código.
En 2023 Mullvad completó un proyecto técnico mayor: la migración de todos sus servidores a infraestructura “sin disco” (RAM-only). Anunció que durante el año “eliminó todo rastro de discos en su infraestructura VPN”, implementando un sistema propio de arranque seguro llamado stboot para cargar los servidores desde una imagen en memoria. Mullvad informó que su red ya fue auditada dos veces con esta configuración (en 2022 y 2023). Ahora cualquier servidor Mullvad, si es apagado, pierde inmediatamente toda la memoria, asegurando que ni siquiera en casos de incautación física (como ocurrió) haya datos persistentes. Mullvad fue uno de los últimos grandes en adoptar RAM-only (quizá por limitaciones previas en su sistema de arranque), pero ahora se pone a la par de ExpressVPN, Nord, etc. en esta medida.
Mullvad también se ha aliado con la Tor Project: en abril 2023 lanzaron juntos el Mullvad Browser, un navegador derivado del código del Tor Browser pero enfocado a usarse con VPN en vez de la red Tor. Este navegador, disponible gratis, aplica las mismas técnicas anti-huellas digitales (fingerprinting) que Tor Browser, de modo que un usuario de Mullvad puede lograr un nivel alto de anonimato sin usar la red Tor (que es más lenta). La lógica es: Tor protege tu IP pero su navegador protege tu identidad frente a rastreo web; Mullvad ofrece la protección IP, Mullvad Browser la protección de fingerprint, combinados dan una privacidad muy sólida. Esta colaboración con Tor muestra la dedicación de Mullvad a soluciones integrales de privacidad, más allá del típico alcance de un proveedor VPN comercial. Mullvad también lanzó Mullvad Leta, un motor de búsqueda integrable en su navegador (basado en resultados de Google pero proxificados para privacidad).
En cuanto a características, Mullvad es minimalista: no ofrece cosas como multi-hop, selección de protocolos exóticos o apps “fancy”. Su filosofía es “hacer pocas cosas y hacerlas bien”. Soporta OpenVPN y WireGuard; fue de las primeras en adoptar WireGuard (de hecho, su fundador estuvo en discusiones tempranas con Donenfeld sobre el diseño). Mullvad no ofrece split tunneling en sus apps oficial (aunque en Linux es trivial configurarlo manualmente). Tampoco ofrece port-forwarding desde 2023 – esta decisión fue polémica entre algunos usuarios P2P. Mullvad argumentó que el reenvío de puertos (abrir un puerto accesible desde internet hacia el dispositivo del usuario) se estaba usando para actividad maliciosa (montar servidores de C2 encubiertos), y dado que su ethos es privacidad no anonimato para abuso, decidieron eliminar la función para reducir superficies de ataque. Esto generó debate, pero Mullvad mantuvo su postura, lo cual es coherente con su integridad incluso si pierden algunos clientes torrent.
Relaciones con gobiernos y postura pública
Mullvad ha sido muy activo en la defensa de la privacidad a nivel político. En 2022-2023 se involucró en la campaña contra la propuesta de la UE conocida como “chat control” (regulación para escanear comunicaciones privadas en busca de CSAM). Mullvad envió cartas abiertas, financió eventos y hasta protestas callejeras en Suecia contra esa ley, afirmando que viola derechos fundamentales. También patrocina proyectos de privacidad (Qubes OS, Tor, etc.) e incluso organiza su propia conferencia (Sec-T).
En su blog, Mullvad ha sido muy franco respecto a presiones legales: por ejemplo, advirtió que una ley sueca de 2020 (que permitía a la policía usar software espía en dispositivos con autorización judicial) no afectaba a las VPN, pero mostraba tendencias preocupantes. También publicó documentos sobre cómo manejarían un hipotético requerimiento legal: “no podríamos dar nada, y si nos obligaran a implementar vigilancia en tiempo real, preferiríamos cerrar el servicio” – postura similar a la de LavaBit mencionada. Mullvad ha insinuado que, dado su tamaño pequeño, incluso un cierre y reapertura en otro país sería factible en un escenario extremo. Esto tranquiliza a los usuarios hardcore, pues confían en que Mullvad antepondría principios antes que convertirse en cómplice de vigilancia.
El único roce conocido con “Fourteen Eyes” fue en 2016, cuando los servicios de inteligencia suecos (FRA) quisieron ampliar sus escuchas internacionales. Mullvad participó en debate público al respecto. Pero no hubo impacto directo en la VPN.
Resumiendo, Mullvad es probablemente la VPN comercial más alineada con la filosofía de privacidad absoluta. Los hechos: no pide datos personales, no logs (confirmado al 100% en redada), código abierto, auditorías pasadas, infraestructura avanzada (ahora RAM-only), nunca comprometió usuarios, y combate leyes intrusivas. Su desventaja comercial podría ser que no invierte en marketing ni branding, pero eso a su base de usuarios le importa poco; de hecho, muchos la valoran por no hacer telemetría ni publicidad. Mullvad, pese a estar en un país 14-Eyes, ha demostrado más integridad que algunos servicios en “países exóticos” que terminaron exponiendo datos (ej. hubo casos de VPN en Hong Kong o Malasia con logs filtrados). En el equilibrio de jurisdicción vs prácticas, Mullvad muestra que unas prácticas fuertes de no-logs pueden triunfar incluso bajo un intento de incautación policial en un país cooperante con occidente. Esto envía un mensaje potente: la privacidad bien diseñada a prueba de órdenes funciona.
Para inversores, Mullvad es un caso atípico: renuncian a crecimiento explosivo para mantenerse fieles a una misión. Aún así, han marcado tendencias que luego otros siguieron (RAM-only, no-logs certificados, aceptar efectivo). En la comunidad técnica se le tiene un respeto comparable al de ProtonVPN e IVPN.
IVPN
IVPN (Invisible VPN) es un proveedor boutique lanzado en 2009, registrado en Gibraltar bajo la empresa Privatus Limited. Aunque pequeño en cuota de mercado, IVPN se ha ganado una sólida reputación entre expertos por su compromiso inflexible con la privacidad y transparencia. IVPN se fundó con la visión de ofrecer una alternativa sin concesiones a las VPN comerciales mainstream. Su CEO, Nicholas Pestell, y equipo (muchos con antecedentes en seguridad informática) adoptaron tempranamente medidas que luego serían estándar: IVPN nunca ha llevado logs, ni siquiera registros de conexión temporales; permite crear cuenta con pseudónimo y aceptar pago en efectivo/monero; y rechaza activamente técnicas de marketing que consideran poco éticas (fue la primera en publicar un manifiesto contra las suscripciones “de por vida” que algunas VPN vendían, explicando que ese modelo es insostenible y engañoso).
Gibraltar, donde reside IVPN, es un territorio británico de ultramar. Jurídicamente, Gibraltar tiene autonomía en la mayoría de asuntos internos, incluyendo regulación comercial. No forma parte del Reino Unido ni de la UE (desde Brexit), y por ende no está automáticamente dentro de Five Eyes – aunque, por su vínculo con UK, se puede suponer que hay cierta cooperación con servicios británicos si se diera el caso. No hay constancia pública de que Gibraltar haya emitido órdenes contra servicios VPN. Dado su tamaño, es improbable que sea foco de presión de inteligencia. IVPN ha indicado que no ha recibido solicitudes legales de datos, y que si las recibiera, su política de no-logs les impediría cumplir (similar a PIA). Publican un informe de transparencia anual con estas métricas.
IVPN es independiente y autofinanciada. No la controla ninguna gran corporación ni ha sido objeto de adquisiciones. Esto les permite enfocarse en su nicho sin presiones externas de inversores. Su crecimiento es orgánico y modesto, con un público objetivo que valora más la confiabilidad que la cantidad de ubicaciones de servidor.
Auditorías, código abierto y medidas de seguridad
IVPN ha sido bastante proactivo en abrirse a auditorías externas. Desde 2019 realiza auditorías de seguridad anuales con Cure53. La primera, en 2019, cubrió sus aplicaciones cliente para Windows, macOS, iOS y Android, justo cuando IVPN decidió abrir el código fuente de todas sus apps. Cure53 encontró algunos problemas (algunos críticos, como un fallo en la app iOS que permitía interceptar una llamada API bajo ciertas condiciones), pero IVPN los corrigió rápidamente y publicó los informes completos. Esta transparencia –reconocer fallos y arreglarlos de cara al público– les ganó respeto. Desde entonces, IVPN ha pasado auditorías anuales: en 2020 nuevamente Cure53 auditó su infraestructura de servidores y sistema de autenticación, sin hallazgos graves; en 2021 y 2022 repitieron con auditorías incrementales para sus nuevas funciones (como su firewall de filtrado). En su web IVPN tiene una sección listando todos los informes de Cure53, subiendo el listón de la transparencia.
Como se mencionó, IVPN abrió su código (clientes desktop y móviles en GitHub) simultáneamente a la auditoría de 2019. Esto implica que cualquiera puede verificar que sus apps no hacen nada extraño (por ejemplo, carecen de trackers de terceros; de hecho, IVPN se enorgullece de no incluir Google Analytics ni similares en sus apps, algo que sí se ha encontrado en apps de competidores).
A nivel de infraestructura, IVPN opera servidores propios en ~45 locaciones. Desde 2020, implementaron servidores sin disco con arranque vía USB seguro en varias regiones sensibles, y actualmente la mayoría de sus servidores son RAM-only (lo confirmaron en su blog). También soportan Multi-hop, permitiendo al usuario encadenar hasta 4 saltos a través de distintos países (lo llaman “Cascade”). Incluso ofrecen multi-hop inter-protocolo: se puede iniciar por OpenVPN y salir por WireGuard u otras combinaciones, para diversificar vectores de ataque.
Otra característica diferenciadora es AntiTracker, introducida en 2020, que es un bloqueador de anuncios/rastreadores similar a Pi-hole, integrado en sus servidores DNS. Tiene dos modos: Bloquear publicidad y malware, o bloquear eso más dominios de redes sociales (para usuarios que quieran eliminar por completo telemetrías de Facebook, Twitter, etc.). AntiTracker ejecuta la lista de filtros directamente en sus nodos resolutores DNS, aumentando privacidad (peticiones a dominios conocidos de publicidad no salen del túnel). IVPN fue de los primeros en ofrecer tal función; hoy la mayoría de grandes ya tiene un equivalente.
IVPN también implementó curiosidades técnicas como “Obfsproxy” (obfuscación via Shadowsocks) para evadir bloqueos VPN en lugares como China, y permiten port forwarding selectivo en ciertos servidores (útil para torrents).
Seguridad de cuentas: IVPN, al ser tan orientada al anonimato, permite registro sin email, pero opcionalmente los usuarios pueden asociar un correo para recuperaciones. No obstante, recomiendan no hacerlo para maximizar privacidad. Han habilitado 2FA TOTP para quienes sí usan cuenta con email.
Respecto a fugas: no se conocen incidentes de IVPN exponiendo datos de usuarios ni brechas en su sistema. En 2021 hubo un revuelo en Reddit porque en su config de servidor se encontró un script que parecía loguear ciertas conexiones, pero resultó ser un misunderstanding: IVPN aclaró que era un script interno genérico no utilizado en producción. Este caso reflejó la confianza que los usuarios depositan, escrutando su código – algo posible gracias a su política abierta.
Postura ética y relación con Five Eyes
IVPN se ha posicionado fuertemente en la ética comercial: rehusaron participar en “VPN gratis” engañosos, no hacen ad injection, no guardan historiales de navegación. Publicaron un extenso whitepaper titulado “No, no todas las VPN son iguales” donde exponen prácticas cuestionables de la industria (como crear decenas de marcas white-label bajo la misma empresa, tácticas de spam, reseñas compradas, etc.), marcando distancia de todo ello.
En su informe de transparencia, IVPN revela cuántas solicitudes legales ha recibido: típicamente informan 0 solicitudes o un par de cartas DMCA que no pueden relacionar con ningún usuario. Nunca han recibido –según ellos– una orden judicial formal. Esto sugiere que IVPN quizá no ha estado en el radar de agencias tanto como otros más grandes. Dada su escala, es plausible. Sin embargo, al estar en Gibraltar, un territorio aliado de UK, uno podría preocuparse. IVPN afirma que en caso de recibir una orden, sus abogados argumentarían que no pueden cumplirla y la disputarían; y si se les forzara a instalar algún sistema de vigilancia (improbable sin base legal local), preferirían cerrar operaciones antes que traicionar a sus usuarios. Este es un punto recurrente entre Mullvad, IVPN y otras VPN “hardcore”: son empresas pequeñas dispuestas a extinguirse llegadas a un extremo, lo que les da credibilidad moral.
No hay registros de IVPN cooperando con ningún gobierno. Tampoco de incidentes de hackeo. Su debilidad quizá sea la cobertura: al no ser tan grande, no tienen miles de servidores, y en países con mucha censura (China, Irán) su presencia es limitada – aunque técnicos entusiastas los usan con obfs sin mayor problema.
IVPN también colabora en la VPN Trust Initiative, aunque a menudo va más allá de lo propuesto (por ejemplo, VTI recomienda auditorías, e IVPN ya hace anuales; recomienda educar usuarios, e IVPN tiene guías extensas de amenazas en su web, etc.). No gastan en publicidad; de hecho, en 2019 The Wirecutter (NYTimes) los recomendó como mejor VPN por seguridad, y los servidores de IVPN casi colapsan por la avalancha de nuevos usuarios, mostrándoles los límites de no tener infraestructura sobredimensionada. Tras ello, invirtieron en más capacidad.
Para inversores, IVPN es un jugador de nicho – no persigue las masas sino la fidelidad de pocos. Su valor intangible radica en ser referente de buenas prácticas. Por ejemplo, Mozilla inicialmente se asoció con IVPN para su servicio Firefox Private Network piloto en 2019 antes de pasar a Mullvad; la elección de IVPN para ese primer experimento demostró la alta estima en que la comunidad open-source los tiene.
En lo que respecta a Fourteen Eyes, Gibraltar, aunque británico, no es precisamente un centro de espionaje global. No obstante, IVPN toma precauciones: su sede está allí más que nada por conveniencia (jurisdicción estable, inglés, fuera de la UE) pero no guarda ningún dato crítico en Gibraltar. Sus servidores están esparcidos globalmente y los más sensibles en países neutrales (Islandia, Suiza, etc.). Podrían mover la empresa fácilmente si Gibraltar fuese problemático.
En síntesis, IVPN es una de las VPN más transparentes y orientadas a la privacidad absoluta, a costa de ser menos conocida. Los hechos: publicó todos sus informes de auditoría (incluyendo hallazgos críticos y su resolución), abrió su código, no ha sido involucrada en ninguna controversia de datos y mantiene su postura sin interferencias corporativas. Su único "debe" es que, al no estar probada por un caso legal sonado, algunos podrían preguntarse cómo reaccionaría; pero su trayectoria sugiere que harían lo correcto por sus usuarios. Es comparada a Mullvad a menudo – ambas son vistas como las VPN de confianza de la comunidad técnica – con Mullvad teniendo mayor infraestructura y IVPN mayor comunicación pública (ej. excelentes artículos educativos en su blog). Para los usuarios que buscan lo más cercano a una VPN idealista, IVPN cumple con los principios con hechos verificables: no logs, no trackers, auditorías anuales, sin inversores que pudieran forzar compromisos.
TunnelBear
TunnelBear es un proveedor fundado en 2011 en Toronto, Canadá, conocido por su enfoque amigable (temática de osos) y facilidad de uso. Durante años operó como una pequeña startup local, hasta que en marzo de 2018 fue adquirida por la empresa de ciberseguridad McAfee (entonces propiedad parcialmente de Intel). Los detalles financieros no se revelaron, pero se cree que McAfee buscaba integrar una VPN de calidad a su suite de productos. Tras la compra, TunnelBear sigue existiendo como marca separada dentro de McAfee, con su equipo en Canadá en gran medida retenido. McAfee, aunque pasó por reestructuraciones (fue independiente, luego parte de Intel, luego nuevamente independiente tras 2017), es una empresa estadounidense, por tanto TunnelBear quedó bajo control de EE.UU. (Five Eyes) desde la adquisición.
Antes de eso, TunnelBear ya estaba en un país Five Eyes (Canadá), así que su jurisdicción de base no cambió en ese sentido. Canadá, al igual que Australia y UK, ha implementado leyes de retención para ISPs, pero no se han aplicado a servicios VPN específicamente. TunnelBear había construido reputación de privacidad y su cofundador Ryan Dochuk aseguró al vender que se operaría “como un equipo separado dentro de McAfee” y mantendrían los “productos llenos de ositos que conoces y amas”. Sin embargo, algunos usuarios expresaron preocupación de que una corporación antivirus, conocida por prácticas a veces invasivas, ahora fuera la dueña. TechCrunch señaló que “al pertenecer ahora a McAfee, TunnelBear deberá cumplir leyes de EE.UU.” y recomendó estar atentos a cambios en términos de servicio o políticas de privacidad tras la adquisición. En la práctica, no se han visto cambios negativos obvios en la política de TunnelBear desde entonces (siguen afirmando no guardar logs de actividad). Pero la mera asociación con un gigante de Silicon Valley hizo que ciertos entusiastas migraran a otras VPN “más independientes”.
Auditorías de seguridad y transparencia pionera
TunnelBear fue una de las primeras VPN en someterse a auditorías de seguridad anuales y publicarlas, incluso antes de ser adquirida. Empezando en 2017, contrató a Cure53 para auditar su infraestructura y aplicaciones. Publicaron resultados cada año, convirtiéndose casi en un estándar de la compañía. Por ejemplo, su segunda auditoría anual en 2018 cubrió sus servidores VPN, aplicaciones y backend: Cure53 revisó a fondo durante 30 días y encontró algunos problemas (2 críticos, 4 altos, etc.), todos los cuales TunnelBear corrigió rápidamente. Cure53 comentó positivamente la mejora en seguridad de TunnelBear año tras año. Este ciclo continuó: en 2019, 2020, 2021 y 2022 TunnelBear siguió realizando auditorías (la de 2020 abarcó sus apps y servidores, con 3 hallazgos críticos solucionados, por ejemplo). Para 2022 anunciaron haber completado ya la 7ma auditoría anual consecutiva. Ninguna otra VPN mainstream tenía ese historial en aquel momento. Esto le valió a TunnelBear mucha credibilidad entre usuarios preocupados por seguridad, demostrando un compromiso sostenido y no solo una auditoría aislada de marketing.
En las auditorías, Cure53 nunca reportó vulnerabilidades catastróficas sin solución; más bien destacaron que TunnelBear incrementaba su robustez año a año. A pesar del cambio de dueños, McAfee permitió que TunnelBear continuara estas auditorías sin trabas, lo cual es buena señal. Es posible que McAfee incluso aprovechara el know-how de TunnelBear para su propio producto VPN (Safe Connect), integrando tecnologías de TunnelBear.
TunnelBear fue también pionera en simplicidad con privacidad: su app no ofrecía mil configuraciones, sino automatizaba todo (ej. seleccionaba mejor ubicación automáticamente si así lo deseabas). Incluyeron un kill-switch llamado VigilantBear y un modo de ofuscación llamado GhostBear para evadir DPI en redes restrictivas. GhostBear ofusca el tráfico OpenVPN para que parezca ruido aleatorio, útil en países con bloqueos VPN. TunnelBear siempre mantuvo que no es una VPN para piratas informáticos, sino para usuarios comunes que quieren seguridad básica (de hecho, bloqueaba explícitamente el tráfico BitTorrent en sus servidores para desalentar infracción de copyright). Esto la hacía menos atractiva para algunos, pero ganó a usuarios de negocios y viajeros.
TunnelBear conserva una política clara de no registro de actividad: no registra IP origen, sitios visitados, consultas DNS ni nada. Solo almacena el email del usuario y cantidad de datos usados en el mes (porque su versión gratuita está limitada a 500 MB mensuales, y para hacer cumplir eso sí debe saber cuánto consumiste). Este es uno de los pocos logs que tiene: el ancho de banda consumido en cuentas free. En cuentas de pago, esa métrica no es necesaria y no se registra uso (según dicen). Ese es tal vez un pequeño trade-off comparado con Mullvad que no tiene ni idea de cuánto consumes. Aun así, no se guarda nada sobre cuándo te conectaste o a qué servidor en las cuentas de pago.
Tras pasar a manos de McAfee, TunnelBear dejó de publicar su informe anual de transparencia (publicaron uno en 2018, pero luego parece integrarse a McAfee). Sin embargo, los informes de auditoría sí continuaron. En 2023, no está claro si bajo los nuevos dueños de McAfee (fue vendida a Symphony Technology Group en 2022) mantendrán este ritmo de auditorías públicas, pero se espera que sí, dado que era un selling point fuerte de la marca.
Incidentes y posición Five Eyes
No se conocen brechas de seguridad ni filtraciones de datos de usuarios de TunnelBear. Un posible riesgo surgió en 2018 cuando, al integrarse a McAfee, se especuló si los datos de usuarios de TunnelBear podrían verse afectados por alguna brecha en la enorme base de datos de McAfee, pero no ocurrió nada de eso. Tampoco hay casos públicos de autoridades acudiendo a TunnelBear por datos. Podría ser porque su base de usuarios era menor o menos asociada a actividades ilícitas (dado que no fomentaban P2P ni escapatoria de geobloqueos en streaming – de hecho, TunnelBear no era de las más eficaces para Netflix, era más para asegurar Wi-Fi públicas).
Si sucediera, TunnelBear estaría sujeta a la ley canadiense y estadounidense simultáneamente. Canadá tiene acuerdos estrechos con EE.UU.; en 2018 aprobaron la ley C-59 que amplió la vigilancia de su agencia CSIS. Y EE.UU. tiene el Cloud Act que podría permitir a autoridades estadounidenses requerir datos almacenados por empresas de EE.UU. aunque estén en servidores extranjeros. Dado que TunnelBear/McAfee es empresa de EE.UU., en teoría una orden de FISA o NSA podría obligarlos a cooperar. Sin embargo, la ventaja es que TunnelBear mantiene pocos datos (y en su informe de transparencia 2018 declararon no haber tenido datos para entregar en las pocas solicitudes que recibieron). Sería fundamental que TunnelBear mantenga su política de no-logs estricta bajo McAfee, para que incluso Five Eyes no puedan obtener gran cosa. Por ahora, no hay indicios de lo contrario.
Culturalmente, tras la compra, TunnelBear perdió algo de visibilidad independiente (p. ej., ya no tiene un blog tan activo; su Twitter se volvió más corporativo). Algunos entusiastas migraron a otros servicios open-source. Pero muchos usuarios casuales siguieron fieles porque la marca es simpática y el servicio “simplemente funciona”.
Para inversores, la adquisición de TunnelBear demostró que las grandes suites de seguridad valoran la integración de VPN como feature. McAfee probablemente ha monetizado TunnelBear ofreciendo su servicio gratuito para upselling a suscriptores, e integrándolo en bundles. TunnelBear como marca por sí misma quizás no busque la expansión masiva; está encajada en el portafolio McAfee orientada a usuarios que quieren one-click VPN.
En resumen, TunnelBear fue pionera en auditar su seguridad periódicamente, mantiene una política de privacidad decente y tras años bajo McAfee no se conocen desviaciones graves. Sin embargo, su posición en un país Five Eyes (Canadá) y propiedad de una empresa Five Eyes (EE.UU.) la colocan en la zona de jurisdicción menos favorable. Hasta ahora esto no se ha traducido en incidentes reales, pero los usuarios más vigilantes podrían preferir VPN de jurisdicciones neutrales. A su favor, su historial técnico es impecable, lo que sugiere que aunque cayera una orden, probablemente TunnelBear no podría entregar nada sustancial (como mucho registros de MB usados por X cuenta gratuita). Y su tamaño relativamente pequeño (unos 20M de usuarios en su versión free a 2018, de los cuales una fracción son de pago) la hace un blanco menos atractivo que, digamos, un NordVPN con decenas de millones de clientes.
Hechos destacables de TunnelBear
Primera en hacer auditorías públicas anuales en la industria VPN, no se le conocen brechas, fue absorbida por un gigante de ciberseguridad manteniendo su identidad. Representa la transición de una VPN indie a formar parte del mainstream corporativo. Si bien quizás ya no es la elección de activistas hardcore (por su jurisdicción), sigue siendo una de las VPN más respetuosas con la seguridad técnica en el segmento de consumo general, con un legado positivo que ojalá McAfee continúe.
Windscribe
Windscribe es un proveedor de VPN lanzado en 2016, con sede en Ontario, Canadá. Es una empresa relativamente nueva comparada con otras aquí, y se ha hecho popular gracias a su generosa versión gratuita (10 GB mensuales sin costo) y a su tono desenfadado en redes sociales. Windscribe es propiedad de Windscribe Limited, una compañía privada fundada por Yegor Sak y Alex Paguis. No ha sido adquirida por ninguna corporación mayor; sin embargo, uno de sus cofundadores (Paguis) fundó por separado otro servicio llamado ControlD (DNS personalizado), y hay colaboración tecnológica entre ambos. En esencia, Windscribe sigue siendo independiente y manejada por sus creadores.
La jurisdicción principal de Windscribe es Canadá, miembro de Five Eyes. Esto implica que en teoría podría enfrentar solicitudes gubernamentales similares a las de TunnelBear en su momento. Windscribe afirma tener una política de no-logs estricta: no guarda historiales de conexiones ni IPs fuente, almacenando solo el nombre de usuario, tiempo de conexión concurrente y cantidad de datos transferidos en un periodo (para monitorizar cuotas de su plan gratis). Una peculiaridad es que Windscribe permite usar su servicio sin registro del todo en modo “Build-a-Plan” – generando credenciales temporales – lo que es inusual. En general, su modelo gratuito significa que gestiona muchos usuarios, lo que conlleva desafíos de seguridad y monetización.
Incidente de 2021: servidores incautados sin cifrar
Windscribe enfrentó una seria controversia de seguridad en junio de 2021, cuando se reveló que dos de sus servidores VPN en Ucrania fueron incautados por las autoridades locales en el marco de una investigación. Lo grave fue que Windscribe admitió que esos servidores no estaban debidamente cifrados ni configurados con su estándar más reciente. Concretamente, en esos nodos se ejecutaba una antigua configuración OpenVPN que no utilizaba clave perfecta efímera (PFS) y además almacenaba tanto la clave privada del servidor como un certificado interno en el disco sin cifrado. Esto significaba que quien tuviera control físico del servidor podía obtener la clave privada y potencialmente usarla para montar un servidor VPN falso (suplantar a Windscribe) y así interceptar tráfico de usuarios que se conectaran creyendo que era legítimo. Fue un error de seguridad significativo. Windscribe explicó que esos servidores eran parte de un “legacy stack” (infraestructura antigua) que no había sido actualizada a su nuevo sistema de cifrado completo. Aunque alegaron que no tenían evidencia de que alguien hubiese explotado la clave para ataques MitM, reconocieron la gravedad: “cualquiera con esas claves podría haber descifrado tráfico de usuarios en esos servidores”.
La comunidad criticó duramente a Windscribe por este descuido, ya que para 2021 se espera que toda VPN seria cifre sus servidores o al menos no almacene claves sin protección. Windscribe publicó una entrada de blog de mea culpa, detallando un plan de 10 puntos para remediar la situación: entre ellas, desplegar inmediatamente PFS en OpenVPN (habilitando TLS-crypt), regenerar todos los certificados raíz, cifrar completamente todos sus servidores con una pila de solo-RAM y un nuevo sistema de administración, e iniciar una auditoría externa de su infraestructura actualizada. Cumplieron varios puntos en los meses siguientes: para finales de 2021, Windscribe anunció que su nueva infraestructura (“Project FreshScribe”) estaba en pruebas con servidores in-memory y que se sometería a auditoría independiente en diciembre.
En efecto, Windscribe realizó en diciembre 2022 una auditoría externa (por Cure53) de su nuevo stack VPN en memoria, cuyo resumen publicó. Los resultados fueron positivos: Cure53 revisó su servidor OpenVPN modificado y scripts de despliegue (en prelanzamiento) y no halló fallos críticos, validando que la arquitectura era ahora sólida. Adicionalmente, Windscribe mandó auditar sus aplicaciones móviles en 2022 por Leviathan Security, para asegurar no hubiera fugas en las apps móviles. Esta auditoría encontró algunas cuestiones menores en Android/iOS, que se solventaron en actualizaciones.
También, en respuesta al incidente, Windscribe abrió el código fuente de sus aplicaciones de escritorio en GitHub a mediados de 2021 y progresivamente de las móviles, buscando transparencia para recuperar la confianza. Ahora su cliente para Windows, Mac y Linux es open source, permitiendo escrutinio público (Leviathan de hecho aprovechó esto en su análisis).
En resumen, Windscribe tropezó en 2021 pero tomó acciones correctivas serias. La incautación en Ucrania pudo haber expuesto tráfico de usuarios (en teoría, si alguien registró tráfico y luego obtuvo la clave, podría desencriptar sesiones no-PFS). No está claro si eso ocurrió; Windscribe dijo “no creemos que se haya comprometido tráfico”, pero la posibilidad existió. Este evento situó a Windscribe en el foco, y desde entonces han trabajado para resarcirse.
Características y filosofía post-incidente
Windscribe tiene muchas características orientadas a privacidad: su paquete incluye ROBERT, un firewall/DNS que filtra publicidad, trackers, malware e incluso categorías como pornografía o juego, configurable por el usuario. Este se ejecuta a nivel de cuenta en la nube y complementa la VPN. También ofrece múltiples protocolos: OpenVPN, IKEv2, WireGuard, y modos “Stealth” (Stunnel, WebSockets) para evadir bloqueos. Su plan de pago “Pro” permite conexiones ilimitadas de dispositivos (sin restricción, a diferencia de la típica 5 o 10), lo cual es generoso.
Tras el incidente, Windscribe se ha vuelto más vocal en cuestiones de privacidad global. Su CEO Yegor Sak en 2022 dio entrevistas criticando la hipocresía de gobiernos que piden puertas traseras a VPN mientras ellos mismos filtran datos; también comentó sobre su caso en Grecia (mencionado abajo) como ejemplo de por qué no se deben guardar logs. Windscribe publicó su primer informe de transparencia en 2021, enumerando órdenes recibidas: mencionaron algunas peticiones DMCA y una orden judicial griega.
Esta orden de Grecia es interesante: en 2022, las autoridades griegas exigieron a Windscribe información para identificar a un usuario supuestamente involucrado en crimen cibernético. Como Windscribe no tenía logs, no pudo ayudar. No conformes, las autoridades imputaron al CEO (Yegor Sak) por “asistencia en ocultamiento de criminales” – básicamente lo acusaron de no entregar datos. Hubo un proceso legal en Grecia que duró 2 años, pero en abril de 2025 la corte de Atenas desestimó todos los cargos contra Sak, reconociendo la validez de su no-logs. Este caso, reportado como “victoria judicial de no-logs de Windscribe”, fue celebrado por la comunidad, ya que un juez esencialmente confirmó que no se puede exigir a una VPN que entregue lo que no posee. Windscribe consideró esto “una validación inequívoca” de su política a un nivel que ninguna auditoría podía dar. Tras la absolución, el CEO habló públicamente contra las presiones globales a reducir el cifrado, reforzando su imagen de defensor.
Windscribe en jurisdicción Five Eyes (Canadá) sigue siendo un punto a vigilar. Sin embargo, su experiencia en Grecia y la autocrítica tras el incidente de 2021 han robustecido su posición. Ahora, todos sus servidores son cifrados y operan en RAM, sus claves tienen PFS, sus apps son open source, y ha superado auditorías en apps y servidor. Esto lo alinea más con los estándares de Mullvad/IVPN, algo notable para un servicio que también atiende a millones de usuarios gratuitos.
Un factor particular: Windscribe es muy popular entre usuarios novatos por su plan gratis, lo que a veces puede atraer atención (por ejemplo, en 2020 trascendió que ciberdelincuentes recomendaban usar Windscribe Free para ocultarse, lo cual pudo haber motivado la acción en Grecia). Windscribe tendrá que navegar ese balance entre ofrecer privacidad abierta a muchos y evitar ser abusada por malos actores, sin ceder a tentaciones de logging.
Hasta la fecha, no se sabe de colaboración de Windscribe con Five Eyes. Tras 2021, es probable que las agencias canadienses examinaran su caso; pero en su transparencia Windscribe no reporta órdenes de CSIS o RCMP, solo DMCA y la de Grecia. Podría ser que no han sido requeridos, o que cualquier requerimiento se los impida divulgar (pero publicarían la ausencia de su canario, supuestamente). En su sitio dice que nunca han dado información identificatoria a terceros.
Hechos clave
Windscribe tuvo un fallo grave (2021) que pudo comprometer usuarios, pero respondieron con transparencia y mejoras rápidas. Desde entonces, se auditó externamente y ganó un caso legal validando su no-logs. Estos hechos demuestran tanto un error real como un compromiso sincero de enmendarlo. Windscribe se consolida como un jugador más confiable que antes: su infraestructura actual cumple estándares altos, y su equipo aprendió de la experiencia de la peor manera posible, lo cual suele generar una cultura de seguridad más fuerte.
No obstante, para usuarios ultra sensibles, la sombra de 2021 puede tardar en disiparse. Pero objetivamente, con sus apps abiertas, auditorías completadas y court-test en Grecia, Windscribe se ha ganado de nuevo la confianza. La empresa suele bromear en redes, pero a la hora de la verdad mostró seriedad cuando importó.
Estando en Canadá (Five Eyes), su mejor protección es la técnica: no tener datos que entregar. Como vimos, con Grecia funcionó; con Five Eyes mayores es de esperar resultado similar. En todo caso, su warrant canary es algo a monitorear. Y como recomendación final, conviene que Windscribe mantenga su ritmo de auditorías periódicas (ojalá anuales) para asegurar que su seguridad se mantiene y para reparar su imagen del todo.
Conclusiones comparativas
A la luz de todo lo expuesto, podemos resumir comparativamente las fortalezas y controversias de cada VPN investigada en la siguiente tabla:
Comparativa general de aspectos clave:
| Servicio | Empresa / Propietario (País) | Auditorías externas | Incidentes / Controversias | Tecnología destacada | Jurisdicción (Eyes) |
|---|---|---|---|---|---|
| ExpressVPN | Kape Technologies (BVI / UK) | PwC 2019 (no-logs); Cure53 2018 (ext); 23+ auditorías históricas. | CIO implicado en espionaje EAU (2021); Venta a Kape (2021) genera dudas por pasado adware. | TrustedServer: 100% RAM-only desde 2019; sin logs verificado (caso Turquía 2017); DNS propio, split tunneling, kill-switch robusto. | BVI (influencia UK, pero fuera formal de Eyes). |
| NordVPN | Nord Security (Panamá / LT) | PwC 2018 (no-logs); VerSprite 2021 (apps); Deloitte 2022 (no-logs) – confidencial; West Coast Labs 2024 (perf/sec). | Brecha servidor Finlandia 2018 (revelada 2019): clave TLS expuesta; vínculo con Tesonet (2018) genera debate de confianza. | NordLynx (WireGuard mod) para anonimato; Servidores RAM y colocated post-2019; DoubleVPN multi-hop; Threat Protection (bloqueo malware). | Panamá (no Eyes) de jure; oficinas en Lituania/NL/Reino Unido (14 Eyes). |
| Surfshark | Nord Security (Países Bajos) | Cure53 2018 (extensiones) & 2021 (infra); Deloitte 2022 (no-logs). | – (Sin brechas reportadas)–. Cambio de sede BVI→NL (2021) causa debate; fusión con Nord (2022) reduce independencia. | 100% RAM-only desde 2020; Nexus network (IP rotación, multi-hop dinámico); CleanWeb (DNS anti-ads); Ofuscación integrada. | Países Bajos (Nine Eyes); data centers en DE/PL (14 Eyes). |
| CyberGhost | Kape Technologies (Rumanía / UK) | Deloitte 2021 & 2023 (no-logs); Informes disponibles a suscriptores. | Compra por Kape (2017) siembra dudas (Crossrider adware pasado); No incidents/hacks known. | Contenedores efímeros sin disco; todos servidores RAM-only confirmados; token de IP dedicada; NoSpy servers propios. | Rumanía (no Eyes, sin data retention); matriz en UK (Five Eyes). |
| PIA | Kape Technologies (EE.UU. / UK) | Deloitte 2022 (no-logs); Código cliente abierto 2018. | No leaks. Mantuvo no-logs en casos FBI 2016 y 2018 (EE.UU.); Compra por Kape (2019) polémica; ex-CEO Mt.Gox CTO (2018) controversial. | Open-source apps todas; NextGen Network (RAM disk, 10Gbps); WireGuard con port-forward; MACE (DNS anti-malware). | EE.UU. (Five Eyes) – probada en corte sin logs; matriz Kape UK (Five Eyes). |
| ProtonVPN | Proton AG (Suiza) | SEC Consult 2019 (apps); Securitum 2022 (infra SecureCore) – privado; Cure53 2023 (Linux client) – privado. Todo código cliente open source. | Sin brechas conocidas. Caso ProtonMail 2021 (log IP por orden suiza) afecta imagen, pero ProtonVPN no implicado. Rusia bloqueó ProtonVPN 2019 por no censurar. | Secure Core multi-hop (servidores bunker); Apps 100% abiertas; Perfect Forward Secrecy en todos protocolos; NetShield DNS filtrado. | Suiza (no Eyes) – fuerte protección legal; cooperó en casos limitados (email). |
| Mullvad | Amagicom AB (Suecia) | Cure53/Assured 2018 (app) – sum. público; Assured 2020 (infra) – sum. público; Cure53 2023 (TunnelCrack eval) – blog. | Sin brechas. Redada policial Suecia 2023: no hallan datos; Enfrentamientos con leyes retención EU (postura activa). Eliminó port-forward 2023 genera críticas en torrent. | No identificación de usuario (cuentas # anónimas); RAM-only total 2023; Código cliente 100% abierto; Bridge con Tor (Mullvad Browser). | Suecia (14 Eyes) – no logs comprobado en allanamiento. |
| IVPN | Privatus Ltd (Gibraltar) | Cure53 2019, 2020, 2021, 2022 (apps & infra) – todos informes públicos. | Sin incidentes. Participó en exponer malas prácticas VPN (ético); jurisdicción Gibraltar debatida (UK OT). | Auditorías anuales publicadas; Open-source completo clientes; Multi-hop personalizable; AntiTracker DNS bloqueador. | Gibraltar (territorio UK) – no casos legales conocidos; promete cerrar antes que loguear. |
| TunnelBear | McAfee Corp (Canadá / EE.UU.) | Cure53 2017–2022 (7 auditorías anuales) – informes resumidos abiertos. | Sin brechas. Adquirida por McAfee (2018) genera recelo. Debe cumplir leyes EE.UU./Canadá Five Eyes. | Auditorías anuales pioneras; VigilantBear (kill-switch) y GhostBear (ofuscación DPI); apps muy simples (orientado no-tech). | Canadá & EE.UU. (Five Eyes) – aún no probada en casos, pero logs mínimos (data uso free). |
| Windscribe | Windscribe Ltd (Canadá) | Cure53 2022 (infra FreshScribe); Leviathan 2022 (apps móviles). Código desktop abierto 2021. | Ucrania 2021: servidores sin cifrar incautados, clave expuesta; respondieron con mejoras y auditoría. Caso legal Grecia 2023: ganó por no-logs. | Infra renovada: servidores cifrados en RAM (2022); ROBERT (filtro DNS personalizable); Open-source clientes; generador config manual (sin app). | Canadá (Five Eyes) – incidente 2021 mostró riesgos, pero ahora no logs confirmado por tribunal. |
- ExpressVPN, NordVPN, Surfshark, CyberGhost, PIA – consolidan gran parte del mercado, ahora en dos grupos (Kape y NordSec). Han invertido en auditorías de no-logs y hardening de servidores (RAM-only) para contrarrestar preocupaciones sobre sus jurisdicciones (BVI, Panamá, Rumanía, EE.UU. respectivamente). No obstante, su concentración corporativa y, en algunos casos, pasados vinculados a adware o brechas, implican que los usuarios deben vigilar su evolución. Hasta ahora, sus políticas de no registro han resistido pruebas (destacando PIA en tribunales y Express/CyberGhost en auditorías Big Four). La adquisición por empresas de Five Eyes no ha derivado –que se sepa– en compromisos de privacidad, pero permanece la necesidad de scrutiny continuo, sobre todo si normativas más estrictas surgen en UK o EE.UU.
- ProtonVPN, Mullvad, IVPN – permanecen independientes y se perciben como gold standard en rigor. Ubicadas en Suiza y Suecia/Gibraltar respectivamente, confían en marcos legales más amigables (aunque Suecia es 14 Eyes, Mullvad demostró fortaleza técnica para contrarrestarlo). Estas VPN priorizan la transparencia: código abierto, auditorías frecuentes, mínimo de datos de cliente. No han tenido incidentes significativos (Mullvad e IVPN ninguno; ProtonVPN manejó bien sus desafíos de contexto ProtonMail). Son frecuentemente recomendadas para activistas y periodistas que necesitan máxima seguridad, y los hechos recabados lo respaldan.
- TunnelBear y Windscribe – ambas canadienses, con enfoque al usuario masivo (una vía McAfee, otra con modelo freemium). Han mostrado compromiso con la seguridad: TunnelBear fue pionera en auditorías y hasta ahora su historial es limpio, pero su absorción por McAfee (Five Eyes) la ubica en un escenario de confianza basada en promesas corporativas más que en verificación independiente a futuro (habrá que ver si McAfee continúa con transparencia). Windscribe tropezó con un error grave, pero aprendió de ello y corrigió el rumbo con apertura y legalmente. Sigue en Five Eyes, pero al menos su stack actual y jurisprudencia ganada le permiten proclamar un nivel de confiabilidad mucho mayor que en 2020.
En términos de tecnologías empleadas para proteger la privacidad, casi todas ahora convergen en ciertas prácticas: servidores sin disco (RAM), túneles con Perfect Forward Secrecy, ejecución en contenedores efímeros, control estricto de infraestructura, y DNS propios con bloqueo de malware/anuncios. Esto reduce significativamente vectores de ataque y la información susceptible de ser requisada. Además, varias han liberado código fuente de clientes (PIA, ProtonVPN, Mullvad, IVPN, Windscribe) – una tendencia positiva hacia la transparencia. Las que aún no (Express, Nord, Surfshark) al menos publican resultados de auditorías y emplean firmas de seguridad externas recurrentemente.
Un punto clave es la presencia en países Eyes
Aquí vimos ejemplos donde la jurisdicción teóricamente adversa no impidió un resultado pro-privacidad (PIA y Windscribe en tribunales, Mullvad en redada, TunnelBear sin incidentes). Esto sugiere que lo determinante es la implementación técnica y postura de la empresa, más que la bandera bajo la que operan. Sin embargo, jurisdicciones neutrales añaden una capa de protección legal que no debe menospreciarse (por ejemplo, Suiza con ProtonVPN: ningún organismo de inteligencia puede simplemente obligarla a espiar, sin un tortuoso proceso judicial internacional).
Para los inversores y analistas, el sector muestra una profesionalización notable: lo que antes era un sector un tanto opaco, hoy está lleno de informes de seguridad, certificaciones y consolidaciones. Kape y NordSec han invertido cientos de millones en absorber competidores, apostando a que la demanda de privacidad seguirá al alza. Esto plantea oportunidades (economías de escala, unificación de estándares) pero también riesgos (menos diversidad real, posible objetivo más atractivo para vigilancia). La confianza del usuario es frágil en este rubro – un solo escándalo de logs expuestos puede destruir la reputación – por eso vemos a todos estos jugadores enfatizando auditorías y no-logs en su mercadeo.
Desde la óptica de los usuarios activistas/técnicos, emergen dos ligas: las VPN “puristas” (Proton, Mullvad, IVPN) que maximizan principios y transparencia, y las VPN “comerciales” (Nord, Express, etc.) que combinan buenas medidas de privacidad con enfoques de mercado masivo (más ubicaciones, streaming, apps pulidas). La brecha entre ellas se ha estrechado: hoy ExpressVPN, por ejemplo, es casi tan sólida técnicamente como Mullvad (con excepción del código cerrado), y Mullvad es casi tan sencilla de usar como Express (salvo que no tiene móvil con tantos lujos). Esto es bueno para el usuario final, porque implica que independientemente de la elección, si es una de estas principales, probablemente obtiene un nivel decente de seguridad.
No obstante, nuestra investigación muestra que cada proveedor tiene particularidades y eventos históricos que conviene considerar:
- Si valora independencia total y transparencia, Mullvad o IVPN tienen ventaja (0 inversores externos, todo abierto, probados en confrontaciones); ProtonVPN ofrece además la solidez de un ecosistema cifrado (mail, VPN) en Suiza.
- Si busca rendimiento global y funcionalidades extra, NordVPN y Surfshark brillan (servidores en 50+ países, antivirus integrado, etc.) pero vienen con más equipaje corporativo (fusión, pasado Tesonet) que aparentemente manejan bien, pero a monitorear.
- Si prioriza confiabilidad con larga data, ExpressVPN y PIA han estado en las trincheras y tienen récords confirmados de no-logs. Son ahora parte de conglomerados, por lo que su reto es mantener esa cultura de privacidad bajo nuevas administraciones.
- Si valora auditorías públicas frecuentes, CyberGhost y TunnelBear fueron ejemplares en publicarlas, lo que genera confianza pese a su pertenencia a Kape y McAfee respectivamente. En especial CyberGhost, tras 2 auditorías Deloitte, se reivindicó frente a los escépticos.
- Si le atrae una versión gratuita robusta, Windscribe destaca, pero su incidente obliga a tener cautela informada: lo bueno es que reaccionaron con franqueza y mejora.
En conclusión, el sector de las VPN comerciales ha madurado: hoy existen evidencias verificables –reportes de auditorías, casos judiciales, comunicados oficiales– que permiten a los usuarios y analistas evaluar la confianza en cada servicio más allá del marketing. Se ha vuelto casi estándar que proclamen “no-logs auditado por Big Four” o “código abierto y probado en tribunales”, lo cual eleva el nivel de toda la industria. Sin embargo, es esencial mantener la vigilancia: las amenazas legislativas (ej. intentos de prohibir VPN o exigir registros, como en India o propuestas de la UE) están al acecho, y cómo reaccione cada empresa será la prueba definitiva de su compromiso. Por ahora, basándonos en los hechos recopilados, todas las VPN investigadas han dado pasos concretos para proteger la privacidad de sus usuarios, aunque en distintos grados y contextos. Para un usuario final, la elección dependerá de qué equilibrio prefiere entre rigurosidad absoluta y practicidad, sabiendo que los actores aquí analizados representan la élite en confiabilidad dentro del vasto mercado de VPN.
Referencias: Las referencias a lo largo del informe enlazan a las fuentes primarias verificadas, incluyendo artículos de prensa tecnológica (Wired, TechCrunch, Reuters, Vice, etc.), informes de empresas auditoras y publicaciones oficiales de las propias VPN, garantizando la exactitud de los hechos presentados.
