Cómo elegir y configurar una VPN que de verdad te proteja
Guía práctica para elegir una VPN, escoger el protocolo adecuado y configurarla bien para tener privacidad real. Sin marcas, solo lo que importa.
Volver al blog
La mayoría de la gente instala una VPN y cree que se ha vuelto invisible. Como si fuera una capa mágica digital. Le das a conectar, ves el iconito del candado y listo, eres totalmente anónimo, ¿no?
Ni de cerca. Una VPN es una herramienta, y como cualquier herramienta, solo sirve si la configuras bien y entiendes lo que realmente hace. Una VPN mal configurada no te da nada más que una falsa sensación de seguridad. Y eso es peor que no tener VPN, porque al menos sin ella sabes que estás expuesto.
En esta guía vamos a ver qué hace realmente una VPN, cómo elegir una que no sea una estafa, qué protocolo usar y cómo tapar las fugas de privacidad en las que casi nadie piensa.
Qué hace realmente una VPN (y qué no hace)
¿Necesitas refrescar conceptos? Aquí tienes nuestra explicación sencilla de qué es una VPN. La versión corta: una VPN crea un túnel cifrado entre tu dispositivo y un servidor en otro lugar. Tu proveedor de internet no puede ver lo que haces, y las webs ven la IP del servidor VPN en vez de la tuya.
Ahora, lo que no hace:
No te hace anónimo. Si entras a Google con una VPN, Google sigue sabiendo quién eres. Una VPN oculta tu dirección IP, no tu identidad.
No te protege del phishing ni del malware. Si haces clic en un enlace falso de tu banco, la VPN cifrará ese tráfico directo al atacante sin problema. Protege la tubería, no lo que circula por dentro.
No te oculta de tu proveedor de VPN. Lo que haces es trasladar la confianza de tu proveedor de internet a tu proveedor de VPN. En lugar de que tu ISP vea todo, ahora puede verlo tu VPN. Por eso es tan importante elegir bien.
Entonces, ¿para qué sirve? Para evitar que tu proveedor de internet registre tu actividad de navegación. Para protegerte en redes WiFi públicas. Para saltarte restricciones geográficas. Es genuinamente útil, pero no esperes milagros.
Cómo elegir un proveedor de VPN (sin caer en estafas)
El mercado de las VPN es un desastre. Reseñas falsas, publicidad agresiva y páginas de “las 10 mejores VPN” que en realidad son propiedad de empresas de VPN. Esto es lo que de verdad importa.
Política de no registros, pero comprobada. Todos los proveedores dicen que no guardan registros. Lo ponen en todas sus páginas. La pregunta es si pueden demostrarlo. Busca los que lo respaldan con auditorías de seguridad independientes realizadas por empresas de prestigio. Una auditoría significa que un tercero examinó su infraestructura y confirmó que no almacenan datos de usuario. Mejor todavía: algunos proveedores ejecutan sus servidores completamente en RAM, así que todo se borra al reiniciar. Sin discos duros no hay datos que confiscar.
Aplicaciones de código abierto. Si la aplicación es de código abierto, cualquiera puede revisar el código y verificar que hace lo que la empresa dice. Sin rastreo oculto, sin registros secretos. Las aplicaciones de código cerrado son una caja negra. No son automáticamente malas, pero el código abierto es una señal de confianza muy fuerte.
Evita las VPN gratuitas. Si no estás pagando, el producto eres tú. Se ha descubierto que VPN gratuitas inyectan publicidad en la navegación, instalan rastreadores e incluso venden el ancho de banda de tu dispositivo a terceros. Justamente aquello de lo que intentas protegerte es su modelo de negocio.
Pago anónimo. Los mejores proveedores aceptan criptomonedas, efectivo o tarjetas regalo. Si el objetivo es la privacidad, pagar con una tarjeta de crédito a tu nombre anula el propósito. No es necesario para todo el mundo: si solo quieres protección en la WiFi de la cafetería, pagar de forma normal está bien.
Propiedad de los servidores. ¿El proveedor es dueño de sus servidores o los alquila a centros de datos? Tener el hardware físico significa control total. Alquilar añade otra parte en la cadena que podría acceder a la infraestructura o responder a solicitudes legales.
Jurisdicción: elige el país adecuado
El país donde tu proveedor de VPN está registrado determina qué leyes se aplican a tus datos.
La alianza Five Eyes (Estados Unidos, Reino Unido, Canadá, Australia y Nueva Zelanda) es un pacto de vigilancia que comparte datos de inteligencia libremente. Si tu proveedor de VPN tiene su sede en uno de estos países, una orden judicial de cualquiera de ellos podría obligar a entregar datos. Luego está la alianza Nine Eyes (se suman Dinamarca, Francia, Países Bajos y Noruega) y la Fourteen Eyes (se añaden Alemania, Bélgica, Italia, España y Suecia). Cuanto más se amplía el grupo, más laxa es la cooperación, pero existe.
¿Significa esto que nunca deberías usar una VPN con sede en estos países? No necesariamente. Un proveedor que realmente no guarda registros no tiene nada que entregar, independientemente de la jurisdicción. Pero en igualdad de condiciones, busca proveedores en países respetuosos con la privacidad como Suiza, Islandia, Panamá o Rumanía, lugares con leyes de privacidad fuertes y sin pertenencia a ninguna alianza Eyes.
Una distinción importante que mucha gente confunde: dónde está registrado el proveedor (jurisdicción legal) frente a dónde se encuentra el servidor al que te conectas. La jurisdicción del proveedor determina a qué solicitudes legales debe responder. La ubicación del servidor determina desde dónde parece que viene tu tráfico. Si tienes que priorizar una cosa, la jurisdicción del proveedor importa más, porque es donde se ejerce la presión legal.
Protocolos VPN: cuál usar
El protocolo determina tu cifrado, velocidad y nivel real de seguridad.
| Protocolo | Velocidad | Seguridad | Veredicto |
|---|---|---|---|
| WireGuard | Rápida | Fuerte | Recomendado |
| OpenVPN | Media | Fuerte | Buena alternativa |
| IKEv2/IPsec | Rápida | Buena | Ideal para móvil |
| L2TP/IPsec | Lenta | Aceptable | Obsoleto |
| PPTP | Rápida | Débil | Evitar |
WireGuard es el ganador indiscutible. Unas 4.000 líneas de código frente a las más de 100.000 de OpenVPN. Menos líneas significa menos errores, auditorías más fáciles y criptografía moderna (ChaCha20, Curve25519). Es más rápido, se reconecta al instante en el móvil y consume menos batería. Si tu proveedor lo soporta, úsalo.
OpenVPN es la alternativa fiable: probado en batalla, ampliamente compatible y sólido con AES-256. Simplemente más lento y pesado.
IKEv2 gestiona bien los cambios de red, lo que lo hace ideal para el móvil. Viene integrado en iOS, macOS y Windows.
¿Todo lo demás? Pasa de largo. PPTP tiene vulnerabilidades conocidas desde principios de los 2000. Si tu proveedor todavía lo ofrece, es una mala señal.
La jugada definitiva: tu propio servidor WireGuard
El tema con los proveedores comerciales de VPN es que sigues confiando en alguien más con tu tráfico. Incluso en los mejores. Lees su política de privacidad, revisas sus informes de auditoría y cruzas los dedos.
¿Quieres eliminar ese problema de confianza por completo? Monta tu propio servidor VPN.
Alquila un VPS pequeño en un país respetuoso con la privacidad, instala WireGuard y conecta tus dispositivos. Tu tráfico pasa por un túnel cifrado hasta un servidor que solo tú controlas. Sin intermediarios, sin políticas de registros de las que preocuparte. El diseño minimalista de WireGuard hace que la configuración sean unas pocas líneas, no páginas de opciones.
La contrapartida: con una VPN comercial, tu tráfico se mezcla con el de miles de usuarios en la misma IP. Con tu propio servidor, eres el único usuario. Para proteger tu privacidad frente al ISP y en redes WiFi públicas, eso basta. Para anonimato entre la multitud, un proveedor comercial o Tor funcionan mejor.
Kill Switch: tu red de seguridad
Las conexiones VPN se caen de vez en cuando. Tu WiFi tiene un parpadeo, el servidor se reinicia, tu teléfono cambia de red. Y en el momento en que la VPN se desconecta, el tráfico sale directo por tu conexión normal con tu IP real expuesta. Bastan unos segundos para que se filtren consultas DNS y tráfico en segundo plano.
Un Kill Switch bloquea todo el tráfico de internet en el instante en que la VPN se desconecta. Nada entra ni sale hasta que se restablece la conexión. Piensa en él como un interruptor de emergencia para tu privacidad.
Busca esta opción en tu aplicación de VPN y actívala. Algunos la llaman “bloqueo de red” o “VPN siempre activa”. También puedes configurarlo a nivel del sistema operativo con reglas de cortafuegos, lo cual es más fiable porque funciona incluso si la aplicación VPN se cierra inesperadamente.
Ponlo a prueba. Conéctate a tu VPN y luego desconéctala a propósito. Si puedes seguir navegando, tu Kill Switch no está funcionando.
Tunelización dividida: enruta solo lo necesario
Pasar todo el tráfico por la VPN ralentiza las cosas y puede causar problemas con servicios locales o bloqueos en plataformas de streaming. La tunelización dividida te permite elegir qué pasa por la VPN y qué va directo.
Algunos ejemplos prácticos: envía la navegación y la mensajería por la VPN pero deja que el streaming de vídeo vaya directo. Enruta las aplicaciones de trabajo por la VPN pero deja la navegación personal sin ella. La mayoría de las aplicaciones VPN permiten enrutamiento por aplicación (eliges qué aplicaciones usan la VPN, más sencillo) o enrutamiento por destino (especificas qué direcciones pasan por la VPN, más detallado).
La contrapartida en seguridad es obvia: todo lo que excluyas de la VPN no está protegido por ella. Piensa qué necesita protección realmente. En caso de duda, enruta todo y solo excluye lo que cause problemas.
DNS: la fuga de privacidad de la que nadie habla
Podrías tener la mejor VPN del mundo y seguir filtrando todo tu historial de navegación por culpa del DNS. DNS traduce los nombres de las webs en direcciones IP, y por defecto esas consultas suelen ir a los servidores de tu proveedor de internet, sin cifrar y totalmente registradas.
Muchas aplicaciones VPN gestionan esto automáticamente enviando las consultas DNS por el túnel. Pero no todas lo hacen, y los errores de configuración son frecuentes. Si tus consultas DNS se escapan del túnel, tu proveedor de internet puede ver cada web que visitas aunque el resto de tu tráfico esté cifrado.
Soluciónalo con DNS cifrado. Dos opciones principales: DNS over HTTPS (DoH) envía las consultas a través de conexiones HTTPS normales, lo que dificulta su bloqueo porque parece tráfico web común. DNS over TLS (DoT) usa una conexión cifrada dedicada, algo más rápida pero más fácil de identificar y bloquear. Cualquiera de las dos es infinitamente mejor que DNS sin cifrar.
No uses el DNS de tu proveedor de internet. Elige un proveedor de DNS centrado en la privacidad que no registre consultas y que soporte DNS cifrado. Consulta nuestras recomendaciones de DNS para sugerencias concretas.
Comprueba si hay fugas. Después de conectarte a la VPN, busca “DNS leak test” y ejecuta uno. Estas herramientas te muestran qué servidores DNS están gestionando tus consultas. Si ves los servidores de tu ISP mientras estás conectado, tienes una fuga. Arregla tu configuración DNS antes de hacer cualquier otra cosa.
Consejos adicionales
Comprueba si hay fugas de IP. Después de conectarte, busca “cuál es mi IP” en un buscador. Si ves tu IP real, algo va mal. También comprueba las fugas de WebRTC: algunos navegadores revelan tu IP real a través de WebRTC incluso con la VPN activa.
Gestiona IPv6. Muchas VPN solo canalizan el tráfico IPv4. Si tu dispositivo también usa IPv6 (la mayoría de los modernos lo hacen), ese tráfico podría saltar la VPN por completo. Asegúrate de que tu VPN soporta tunelización IPv6, o desactiva IPv6 en tu dispositivo mientras estés conectado.
No te olvides del móvil. Tu teléfono filtra tantos datos como tu ordenador, probablemente más, con todas las aplicaciones mandando información constantemente. Si tienes iPhone, consulta nuestra guía para reforzar la seguridad.
Sé coherente con tu identidad. Si tu objetivo es el anonimato, no inicies sesión en cuentas que te identifiquen mientras usas la VPN. En el momento en que entras a Gmail, Google sabe quién eres sin importar tu IP.
Para anonimato de verdad, considera Tor. Una VPN te da privacidad frente a tu ISP y la red local. Si necesitas anonimato real, como lo necesitan periodistas o activistas, Tor es otra herramienta pensada para otro modelo de amenaza.
La autenticación fuerte sigue siendo clave. Una VPN protege tu conexión, no tus cuentas. Usa métodos de inicio de sesión seguros en todas partes.
En resumen
Tu plan de acción:
- Elige un proveedor con política verificada de no registros, jurisdicción respetuosa con la privacidad, aplicaciones de código abierto y auditorías independientes
- Usa WireGuard - más rápido, más simple y más seguro que las alternativas
- Activa el Kill Switch para que el tráfico nunca se filtre cuando la VPN se desconecte
- Configura DNS cifrado y comprueba que no haya fugas
- Configura la tunelización dividida para equilibrar privacidad y rendimiento
- Prueba todo - fugas de IP, fugas de DNS, IPv6 y Kill Switch
O ve un paso más allá: olvídate de proveedores comerciales y monta tu propio servidor WireGuard. Control total, sin necesidad de confiar en nadie.
Una VPN no te va a hacer invisible. Pero una bien configurada te convierte en un objetivo mucho más difícil. Y en un mundo donde todo el mundo quiere tus datos, eso es lo que importa.
Para recomendaciones de proveedores concretos, consulta nuestra página de recursos.