¿Qué es una VPN sin registros? Proveedores auditados, informes independientes y cómo distinguir una afirmación real del marketing
Una VPN sin registros es aquella que no registra el tráfico, el DNS ni los metadatos de conexión que podrían identificar a un usuario. La afirmación solo importa cuando un auditor independiente ha inspeccionado la infraestructura real. Aquí te explicamos cómo distinguirlo.
Qué significa realmente "sin registros"
Una VPN sin registros es un proveedor que se compromete a no registrar tráfico, consultas DNS, direcciones IP ni marcas de tiempo de conexión que puedan vincularse a un usuario concreto. La expresión 'sin registros' carece de definición legal en sí misma. Toda página de inicio de una VPN la utiliza. La afirmación solo cobra sentido cuando un auditor independiente ha inspeccionado la flota de servidores y la configuración reales, y el informe se publica. A fecha de 2026, las cinco grandes VPN de pago que cubrimos (Mullvad, Proton VPN, NordVPN, ExpressVPN, Surfshark) han publicado auditorías independientes.
Qué cubren realmente las auditorías publicadas
La auditoría más reciente de Mullvad la realizó Cure53, entre el 3 y el 14 de junio de 2024 (su cuarta auditoría en total, la segunda con Cure53). Es una auditoría de infraestructura que cubre un servidor OpenVPN y uno WireGuard de la flota de producción de Mullvad. Proton VPN ha superado cuatro auditorías consecutivas sin registros de Securitum (2022, 2023, 2024, 2025). NordVPN ha superado seis evaluaciones independientes de garantía sin registros conforme a ISAE 3000: PwC 2018, PwC 2020, Deloitte 2022, 2023, 2024, 2025. El Trust Center de ExpressVPN enumera 23 auditorías publicadas, la más reciente una tercera auditoría sin registros de KPMG (2025) y auditorías de Cure53/Praetorian de la reescritura en Rust del protocolo Lightway (sep–oct de 2024). Surfshark cuenta con auditorías sin registros de Deloitte en 2023 y 2025 conforme a ISAE 3000.
Cómo es una afirmación real de no registros
Tres señales separan una afirmación real de no registros del marketing. Primero, un informe publicado de un tercero, no una entrada de blog tipo nota de prensa, sino un PDF descargable o una página de trust center con el nombre del auditor y la fecha. Segundo, un alcance de auditoría que incluya la infraestructura (configuración a nivel de servidor), no solo la aplicación cliente. Tercero, idealmente, una prueba real de orden judicial. Las oficinas de Mullvad fueron registradas por la policía sueca el 18 de abril de 2023 al amparo de una orden emitida a partir de una solicitud de cooperación jurídica alemana; Mullvad documentó el suceso públicamente y la policía se marchó sin incautar datos de clientes porque los datos que buscaba la orden no existían en los servidores (según la entrada de blog de Mullvad sobre la orden de registro). PureVPN, en cambio, suministró registros de conexión al FBI en 2017 en el caso de ciberacoso de Ryan Lin, pese a su anterior marketing de 'sin registros'. El caso es el ejemplo inverso canónico de una afirmación de marketing contradicha por una coacción legal real.
La jurisdicción importa menos que lo que el proveedor almacena
El marketing de las VPN insiste mucho en la jurisdicción. Los acuerdos de intercambio de inteligencia 5 / 9 / 14 Eyes (EE. UU., Reino Unido, Canadá, Australia, Nueva Zelanda + Dinamarca, Francia, Países Bajos, Noruega + Alemania, Bélgica, Italia, Suecia, España) son reales, y una VPN registrada en Suecia o en los Países Bajos queda dentro de su ámbito. Pero un proveedor en una jurisdicción fuera de los Eyes que conserva registros de conexión es peor que un proveedor sin registros en cualquier lugar. Mullvad (Suecia, dentro de los 14 Eyes) y Proton VPN (Suiza, fuera de los Eyes) están ambos auditados; la redada a Mullvad demuestra que una configuración sin registros importa más que una bandera en el mapa.
Cómo leer un informe de auditoría
Abre el informe y busca tres cosas. (1) Alcance: ¿describe el informe qué examinó el auditor, incluidos qué servidores, qué protocolos y qué intervalo de fechas? Un lenguaje genérico de 'auditamos la política' sin detalles es más débil que 'examinamos los archivos de configuración de la VPN y las configuraciones de los servidores'. (2) Método: los informes de Securitum para Proton describen una revisión de configuración in situ y entrevistas al personal; los informes de Deloitte sobre NordVPN citan ISAE 3000 (el estándar internacional de encargos de aseguramiento); los informes de Cure53 sobre Mullvad describen pruebas de seguridad de caja blanca en servidores de producción. (3) Hallazgos: toda auditoría encuentra algo. La auditoría de Cure53 a Mullvad de junio de 2024 encontró dos problemas (uno bajo, uno medio); la auditoría de Lightway de Praetorian de 2024 encontró dos problemas de bajo riesgo. La presencia de hallazgos no es algo malo; la ausencia total de hallazgos sería sospechosa. Lo que importa es la gravedad y la subsanación.
Qué ignorar
Ignora las clasificaciones genéricas de 'la VPN más privada' que no revelan su metodología. Ignora a los proveedores cuya 'auditoría' es una carta de una pequeña consultora que nunca examinó los servidores. Ignora los sitios de comparación de VPN que no enlazan el informe real: el informe tiene una fecha y una parte que lo publica; si un sitio no lo enlaza, la afirmación no es comprobable. Ignora la jurisdicción como señal principal. La única señal fiable es el alcance de la auditoría publicada, junto con, cuando exista, el historial de casos de coacción legal.
Fuentes
Auditoría de Mullvad: mullvad.net/en/blog/fourth-infrastructure-audit-completed-by-cure53. Redada a Mullvad en 2023: mullvad.net/en/blog/mullvad-vpn-was-subject-to-a-search-warrant-customer-data-not-compromised. Auditorías de Proton: protonvpn.com/blog/no-logs-audit. Auditorías de NordVPN: nordvpn.com/blog/nordvpn-no-logs-audit-2024. Trust Center de ExpressVPN: expressvpn.com/trust. Auditoría de Surfshark: surfshark.com/blog/deloitte-nologs-policy-verified-again. Caso PureVPN/Lin: bleepingcomputer.com/news/security/cyberstalking-suspect-arrested-after-vpn-providers-shared-logs-with-the-fbi. Todas las URL consultadas el 2026-04-30.