Glosario — términos de VPN en lenguaje claro

Un kill switch vigila el túnel VPN y bloquea todo el tráfico de internet si el túnel se rompe — por ejemplo cuando cambias de wifi o el servidor pierde la conexión. Sin él, el equipo sigue enviando paquetes por tu red habitual hasta que el cliente vuelve a conectarse, revelando tu IP real. Para quien usa una VPN para ocultar su ubicación, el kill switch es en la práctica obligatorio.

El split tunneling divide el tráfico en dos rutas. Puedes, por ejemplo, hacer que el navegador pase por la VPN pero que la app del banco o las impresoras locales queden fuera, lo que de otro modo suele acabar con el servicio bloqueándote o yendo más lento de lo necesario. Lo contrario al split tunneling — túnel completo — envía todo a través de la VPN, sin importar la app.

Con multi-hop (a veces llamado doble VPN) tu tráfico se conecta a través de una cadena de dos servidores en países distintos. El primer servidor ve tu IP real pero no qué visitas; el segundo ve el destino pero no de dónde provenía originalmente el tráfico. Protege frente a un proveedor que pierda disciplina de no-logs, pero cuesta velocidad y resulta excesivo para la mayoría.

Cada vez que abres una página web, el equipo resuelve el nombre de dominio mediante un servidor DNS. Si el tráfico DNS va por error directamente a tu proveedor de internet en lugar de pasar por el túnel VPN, este sigue viendo toda la lista de sitios que visitas, aunque la carga de la página esté cifrada. La protección contra fugas de DNS obliga a que las consultas pasen por el túnel.

Un protocolo VPN determina cómo el cliente y el servidor negocian un túnel cifrado y cómo se empaquetan los paquetes. WireGuard es el estándar moderno con una base de código pequeña, es rápido y se comporta bien en redes móviles. OpenVPN es más antiguo y más lento, pero está extremadamente probado y está disponible en todas partes. IKEv2/IPsec gestiona bien los cambios de red y se usa a menudo en móviles. Evita protocolos antiguos como PPTP o L2TP sin IPsec.

Todos los servicios VPN serios cifran el tráfico con AES-256 o ChaCha20. Hoy ambos son prácticamente irrompibles con los métodos conocidos. Frases como «military-grade» o «bank-grade encryption» son puro marketing — no existe tal estándar. Lo que importa más es cómo se intercambian las claves y si se usa perfect forward secrecy, algo que hacen todos los protocolos modernos.

El país donde el proveedor tiene su sede determina qué tribunales y servicios de seguridad pueden exigir datos o forzar al proveedor a empezar a registrar logs. Los países dentro de las alianzas Five/Nine/14 Eyes comparten inteligencia de forma rutinaria; los proveedores con sede fuera (por ejemplo Panamá o Suiza) quedan algo más libres. Sin embargo, eso no protege frente a una mala política de no-logs — un país sin requisitos de retención solo basta si el proveedor realmente no guarda nada.

Leer más sobre Five / Nine / 14 Eyes →

El número de servidores es una cifra popular para destacar, pero por sí sola dice poco. Tres mil servidores en cinco países son peores que trescientos servidores en cincuenta países. Lo que cuenta es si hay servidores cerca de donde estás (latencia) y en los países a los que necesitas conectarte (geobloqueo). Las cifras altas también reflejan cómo cuenta el proveedor — las instancias virtuales y los balanceadores de carga suelen contarse.

El número de países con servidores determina desde qué regiones geográficas puedes obtener una dirección IP. Si quieres acceder a BBC iPlayer, necesitas servidores en Reino Unido; si quieres ver Netflix de EE. UU., necesitas servidores en EE. UU. Para la mayoría, de 30 a 50 países es más que suficiente; lo demás son casos límite.

Las ubicaciones de servidores te indican desde dónde puedes obtener un punto de salida. Algunos proveedores tienen servidores físicos en todos los países listados; otros usan servidores virtuales en los que la máquina está en otro sitio pero asigna una IP del país objetivo. Para el geobloqueo, ambos son equivalentes; para la latencia, la ubicación física es mejor.

Un plan gratuito suele ser una muestra, no una alternativa completa. Las limitaciones típicas son de 500 MB a 10 GB de tráfico al mes, pocos países con servidores y velocidad reducida. Evita VPN gratuitas de proveedores desconocidos — operar es caro y, si tú no pagas, probablemente tú eres el producto (medición publicitaria o reventa de tráfico).

La garantía es en la práctica un periodo de prueba gratuito: pagas la cuota anual y reclamas el dinero antes de que expire el plazo si no estás satisfecho. Lee las condiciones — algunos proveedores deniegan la devolución si has usado demasiado tráfico, has comprado a través de la App Store o has adquirido el servicio mediante campañas concretas.

Casi todos los proveedores de VPN se promocionan con un precio inicial muy rebajado y luego vuelven a un precio normal mucho más alto cuando renuevas. El descuento puede ser del 60–80 % el primer año. El precio de renovación es el coste a largo plazo — esa es la cifra que conviene comparar.

El límite determina cuántos de tus dispositivos pueden estar conectados a la VPN al mismo tiempo. Un router cuenta como un dispositivo pero cubre todo lo que se conecte detrás, así que instalarla en el router es una buena manera de aprovechar el número de dispositivos. Si compartes la cuenta con la familia, normalmente necesitas soporte para 5–10 dispositivos simultáneos.

Con un número ilimitado de conexiones simultáneas puedes iniciar sesión en tantos dispositivos como quieras a la vez. Práctico para hogares grandes, equipos de domótica y si quieres compartir la cuenta con familia cercana. Se presupone un uso razonable — los proveedores suelen actuar contra el uso compartido comercial.

La mayoría de los bloqueadores de anuncios de las VPN son en esencia una lista negra de DNS: el servidor se niega a resolver dominios de anuncios conocidos. Funciona contra banners y rastreadores de terceros, pero deja escapar anuncios que están en el mismo dominio que el contenido (por ejemplo YouTube). Una extensión de navegador dedicada como uBlock Origin es más completa. Dos ventajas de la variante VPN: protege todos los dispositivos y funciona en aplicaciones, no solo en el navegador.

Una app oficial del servicio VPN facilita la instalación y gestiona automáticamente detalles como el kill switch y la protección contra fugas de DNS. Es habitual el soporte para Windows, macOS, Linux, iOS y Android. Si falta una plataforma (por ejemplo un router concreto o Apple TV), a menudo puedes conectarte manualmente mediante archivos de configuración de OpenVPN o WireGuard, pero entonces sin las funciones extra.

Una extensión VPN en Chrome o Firefox es, en la mayoría de los casos, un proxy HTTPS, no un túnel VPN completo. Solo se protege el tráfico del navegador; todo el demás tráfico de red (otras aplicaciones, actualizaciones del sistema, cliente de correo) va por el camino habitual. Útil cuando quieres cambiar de país de salida puntualmente sin montar un túnel para todo el sistema, pero no sustituye a un cliente VPN real.

Marcamos Sí si la propia web del proveedor menciona el streaming como una función. Muchos servicios de streaming mantienen listas de direcciones IP de VPN y las bloquean. Un proveedor que hoy funciona puede dejar de hacerlo la semana siguiente. Una garantía corta de devolución del dinero es el mejor seguro si el streaming es tu objetivo principal.

El número de servicios de streaming que el propio proveedor lista como compatibles en su web. Algunos los listan exhaustivamente en una página dedicada, otros solo un subconjunto, otros no los listan en absoluto.