El Mejor Servicio VPN del 2020 ≫ Ckea Design

El mejor servicio VPN

Pasamos más de 65 horas investigando 53 servicios VPN, probando cinco, entrevistando al liderazgo de tres y consultando a expertos en seguridad de la información. Las VPNs no son necesarias para todo el mundo, pero para proteger tu información en Wi-Fi público (y en algunos otros casos), TunnelBear es el proveedor más transparente y fiable que ofrece conexiones rápidas, seguras y de fácil configuración.

Confianza y seguridad

TunnelBear destaca por su fiabilidad y transparencia, y ofrece conexiones rápidas y fiables, aplicaciones fáciles de usar en todas las plataformas principales y funciones prácticas para conexiones inestables.

Comprar en TunnelBear

TunnelBear superó nuestras expectativas de confianza y transparencia, los factores más importantes a tener en cuenta a la hora de elegir el mejor servicio VPN. Además de publicar los resultados de múltiples auditorías de seguridad externas, la empresa publica informes periódicos de transparencia y tiene una política de privacidad clara y fácil de entender. Tomando todos estos factores en conjunto, confiamos en que TunnelBear no está registrando el tráfico de clientes y sólo recoge datos operativos limitados sobre los clientes. Encontramos que las aplicaciones son fáciles de configurar y usar en Windows, macOS, Android e iOS. También apreciamos las funciones adicionales de TunnelBear, como los interruptores de apagado, que le permiten apagar todo el tráfico de red que entra y sale de su ordenador o dispositivo móvil en caso de que falle la conexión cifrada, así como las formas de mejorar la estabilidad de la conexión.

Entrevistamos a la directora de ciberseguridad de la Electronic Frontier Foundation, Eva Galperin, sobre las limitaciones de las VPNs y los consejos para seleccionar la más adecuada en función de las circunstancias individuales. Hablamos con el cofundador y CEO de Trail of Bits, Dan Guido, sobre los retos de seguridad inherentes a las VPNs y las limitaciones de las auditorías e informes de seguridad. Recibimos respuestas de Joseph Jerome, asesor de políticas para el proyecto de privacidad y datos del Centro para la Democracia y la Tecnología, sobre la responsabilidad de las VPN en sus modelos de negocio, prácticas de privacidad, protocolos de seguridad y protecciones, y cómo se relaciona eso con la confiabilidad. Discutimos qué buscar y qué evitar en las VPNs con el investigador de seguridad Kenneth White, codirector del Open Crypto Audit Project, y con el criptógrafo y profesor de la Universidad Johns Hopkins Matthew Green.

Entrevistamos a los líderes de tres servicios VPN de alto rendimiento sobre su seguridad operativa y sus estándares internos, participando en llamadas telefónicas con el CEO de TunnelBear y co-fundador Ryan Dochuk y el CEO de IVPN Nick Pestell, e intercambiando correos electrónicos con el CEO de Mullvad, Jan Jonsson.

Como reportero técnico, he cubierto la privacidad y seguridad de Wired, Vice, BreakerMag, The Intercept, Slate/Future Tense, Ars Technica, y más. He co-organizado cryptoparties en Phoenix para enseñar a la gente cómo estar más segura en línea. He co-organizado eventos, impartido talleres y hablado en paneles sobre seguridad digital y protección de fuentes. He escrito planes de estudio para TrollBusters, un servicio de rescate justo a tiempo para escritoras y periodistas que están sufriendo acoso en línea. Colaboré con la EFF en su proyecto de vigilancia a nivel de calle. Y durante mucho tiempo he sido escéptico de las afirmaciones de seguridad y privacidad que hacen las empresas de VPN, y he abogado por auditorías de seguridad de terceros y otras señales de confianza.

Esta guía se basa en el trabajo de Mark Smirniotis, editor de Wirecutter, incluyendo las opiniones del equipo de seguridad de la información de The New York Times (empresa matriz de Wirecutter); Runa Sandvik, Bill McKinley, David Templeton, James Pettit y Neena Kapur, todos ellos proporcionaron comentarios sobre una amplia gama de temas, desde preocupaciones técnicas hasta la transparencia de los proveedores.

A quién va dirigido

El uso de una VPN puede impedir que su computadora o dispositivo móvil revele su dirección IP a sitios web, servicios y el resto de Internet cuando se conecte. Como resultado, esas otras partes ven la dirección IP de la VPN, no la que está conectada a su casa u oficina, o a la cafetería, aeropuerto u hotel en el que se encuentra. El uso de una VPN también puede impedir que su proveedor de servicios de Internet registre sus actividades en línea; en 2017, el presidente Donald Trump firmó una ley que deroga las normas de privacidad de Internet aprobadas por la FCC, lo que permite a los proveedores de servicios de Internet registrar todo su tráfico, insertar anuncios, rastrearlo de diversas maneras y vender esos datos a terceros.

Y no se trata sólo del comportamiento del ISP: Su dirección IP es típicamente registrada por los sitios web que visita y normalmente se adjunta en los correos electrónicos que envía, quedando expuesta a su destinatario. Incluso la carga de imágenes incrustadas en correos electrónicos puede revelar su dirección IP en cualquier lugar desde donde se carguen las imágenes.

A quién va dirigido TunnelBear

Las redes privadas virtuales, o VPNs, funcionan enrutando su tráfico Web a través de una conexión segura y encriptada al servidor de la VPN. Esto puede evitar que los malos actores monitoricen o manipulen su tráfico y puede funcionar para ofuscar su dirección IP, que es el identificador único de cualquier ordenador o dispositivo móvil que se conecte a Internet. Cuando una VPN está configurada correctamente, el tráfico de su VPN sólo se puede rastrear hasta el servidor VPN y no hasta su casa, oficina, ordenador o dispositivo móvil. Aunque el proveedor de VPN puede ver lo que usted está haciendo, su tráfico se mezcla con el de otras personas que utilizan la misma VPN. (Consulte nuestra guía “¿Qué es una VPN? para obtener más información sobre cómo funcionan las VPN y si necesita una.)

Una razón para proteger su dirección IP es que puede revelar su ubicación. Cualquiera puede conectar una dirección IP en varios sitios web para encontrar su ubicación aproximada, generalmente su ciudad, estado y país. Mientras que algunas direcciones IP sólo están conectadas vagamente a una ubicación geográfica específica, las asociadas a puntos de acceso Wi-Fi son mucho más precisas. Los equipos comerciales, como Skyhook, han utilizado socios de escaneo de puntos calientes y aplicaciones para acumular grandes bases de datos que correlacionan las direcciones IP con las ubicaciones de puntos calientes, y las empresas pueden recurrir a estos servicios para determinar su ubicación exacta.

Las direcciones IP también pueden identificar sus lugares de trabajo. Por ejemplo, un documento de la corte indica que un reportero del New York Times avisó accidentalmente a una compañía de una investigación importante al visitar su sitio web con demasiada frecuencia. Usted no tiene que ser un periodista para a veces querer mantener su lugar de negocios privado del sitio que está visitando.

Nos centramos en las VPNs como una opción para las personas que esperan añadir una capa de privacidad o seguridad a su navegación Web. Pero tales servicios pueden no ser suficientes en algunos casos. Los activistas de derechos humanos, los periodistas, las personas que esperan utilizar VPNs en regímenes opresivos o las personas que probablemente serán el blanco individual de los actores de los estados-nación pueden necesitar tomar medidas que vayan más allá del uso de una VPN comercial; en estos casos, vale la pena consultar a un especialista en seguridad digital como Access Now antes de suscribirse a una de nuestras selecciones.

Aunque es imposible que las personas ajenas a un proveedor de VPN conozcan los entresijos de la empresa, existen ciertos indicadores que sugieren que un proveedor es más confiable, los cuales hemos intentado presentar en esta guía.

Qué debe hacer antes de considerar una VPN

Antes de elegir una VPN, es importante tener claro lo que necesita hacer. Algunas de las razones por las que usted puede querer usar una VPN pueden ser mejor tratadas de otras maneras que son potencialmente más efectivas. Míralo de esta manera: Si usted tiene una casa con paredes delgadas de papel y bombillas halógenas, obtendría mucho más valor de cada dólar sellando grietas, aislando y cambiando a LEDs de lo que obtendría poniendo paneles solares en su techo. Si desea mejorar su privacidad y seguridad, debe asegurarse de abordar otras áreas de vulnerabilidad antes de registrarse en una VPN.

Utilice un administrador de contraseñas para crear y administrar contraseñas seguras y únicas para todas sus cuentas. Reutilizar contraseñas significa que si una de sus cuentas está comprometida, otras también pueden estarlo.

Habilite la autenticación de dos factores, una función de seguridad que puede encontrar en la mayoría de los sitios principales, incluidos Google, Facebook y Twitter. Es preferible usar una aplicación como Authenticator o Yubikey en lugar de SMS como segundo factor.
Cifre su portátil, en caso de que lo pierda o alguien se lo robe. (Los dispositivos Android e iOS se cifran automáticamente si tiene una contraseña eficaz).
Si elige utilizar una VPN para evitar que se realice un seguimiento en línea a través de varias redes publicitarias, algunas extensiones del navegador pueden resultar útiles. El Tejón de la Privacidad de EFF, HTTPS Everywhere y uBlock Origin pueden minimizar el seguimiento de sitios web y redes de anuncios en línea, así como las vulnerabilidades de seguridad. (Más información sobre HTTPS a continuación.)
Si usas Firefox, usa DNS sobre HTTPS (DoH). Esto protege su información de terceros al mismo tiempo que mejora el rendimiento. Para ello, vaya a Preferencias, desplácese hasta la parte inferior de la página, seleccione Configuración de red, desplácese hacia abajo y seleccione Activar DNS sobre HTTPS y Usar predeterminado.
Utilice el Navegador Tor para investigar, por ejemplo, información médica u otros temas sensibles que no quiere que los anunciantes vinculen con su identidad. (Aprenda más acerca de Tor abajo.)
Tenga en cuenta que aunque estas herramientas pueden minimizar su huella digital, tienen limitaciones. Algunos pasos para aumentar la privacidad, como la desactivación de JavaScript, pueden conducir a una experiencia tan mala que es poco probable que siga utilizándolos.
Para más consejos, consulte nuestra guía de capas de seguridad y buenos hábitos. También nos gusta la guía de defensa personal de la Electronic Frontier Foundation.

Geoshifting

Una de las principales razones por las que la gente quiere usar VPNs es para geoshift: hacer que un sitio web o servicio basado en Web como Netflix piense que se está conectando desde, digamos, los Estados Unidos en lugar de Alemania, para acceder a videos u otros contenidos con restricciones geográficas. Pero los sitios más grandes a menudo bloquean las conexiones de las VPNs, lo que hace que este tipo de geoshifting sea poco fiable. Probamos la capacidad de cada uno de nuestros candidatos para acceder al contenido en diferentes países y, en base a los resultados, no recomendamos que la gente espere que trabajen con ese fin.

Confiar en una VPN

Dado que las VPNs ven todo el tráfico que se espera proteger, una de las cualidades más importantes de una buena VPN es la confiabilidad, mientras que la segunda es la seguridad. Desafortunadamente, estas son también las cualidades más difíciles de determinar. En los últimos años, las VPN han comenzado a contratar a empresas independientes para realizar auditorías de seguridad o auditorías sin registro para respaldar sus reclamos de seguridad o privacidad, y compartir los resultados públicamente.

Algunas VPNs que han afirmado no registrar terminan entregando los registros a la policía.
Toda su actividad en Internet fluirá a través de los servidores de la empresa cuya VPN utiliza, por lo que tendrá que confiar más en ella que en la red que espera proteger, ya sea Wi-Fi de un aeropuerto, una conexión a Internet de un hotel, la red de TI de su empresa o el ISP de su casa. “La última milla entre usted y su ISP es extremadamente traicionera”, dijo Dan Guido, CEO de Trail of Bits. En el pasado, los ejecutivos que viajan al extranjero han sido atacados con malware servido a través de Wi-Fi de hotel no seguro, y los ISPs han secuestrado y redirigido las consultas de búsqueda de clientes, han inyectado anuncios dirigidos basados en el historial de navegación, y han inyectado supercookies para rastrear a los clientes móviles. Los proveedores de banda ancha a bordo han sido descubiertos emitiendo certificados HTTPS falsos. Por lo tanto, hay una razón para confiar en algunos proveedores de VPN a través de algunos ISP o para buscar protección en forma de VPN.

Pero no todas las VPNs son una mejora, ya que más de unos pocos han sido descubiertos mintiendo sobre las políticas en el pasado o compartiendo datos con terceros, y muchos han tenido configuraciones deficientes que filtraron los mismos datos por los que se les pagaba para protegerlos. “Muchas veces las VPNs que prometen privacidad y seguridad no funcionan porque mienten”, dijo Eva Galperin, directora de ciberseguridad de la EFF. “Muchas VPNs que dicen:’Protegeremos su privacidad, no nos registraremos, no cumpliremos con una citación’, ese tipo de cosas, resultan estar llenas de mentiras. Es un problema muy serio porque es muy difícil de evaluar”.

Su actividad en Internet fluirá a través de los servidores de la empresa cuya VPN utiliza, por lo que tendrá que confiar en ella más de lo que confía en la red que espera proteger.

De hecho, hay tantas historias sobre las VPNs que no son fieles a sus afirmaciones que sólo podemos enumerar una muestra:

En 2016, un estudio (PDF) encontró una combinación de VPNs que tenían un seguimiento integrado de terceros e implementaciones inseguras. Otro proyecto encontró que el 90 por ciento de las VPNs que probó usaban encriptación insegura o anticuada

En mayo de 2020, el director de la Agencia de Ciberseguridad y Seguridad de Infraestructura del DHS advirtió que los adversarios extranjeros estaban interesados en explotar los servicios VPN (PDF).
A principios de 2020, más de la mitad de las 20 VPN gratuitas más importantes de la App Store y de la tienda Google Play eran propiedad de China, un país en el que los servicios VPN están prohibidos.
Ha habido múltiples casos de VPNs individuales que han sido capturadas o acusadas con evidencia de violar sus propias políticas de privacidad o compartir datos de clientes, incluyendo reclamos contra EarthVPN, Onavo de Facebook, HideMyAss, Hola VPN, Hotspot Shield (PDF), IPVanish, y PureVPN.
Por otro lado, hay algunas VPNs cuyos casos de no-logging han sido probados en los tribunales:

ExpressVPN no pudo proporcionar registros a las autoridades turcas, que allanaron el centro de datos y tomaron el servidor de la empresa en Turquía, pero no encontraron registros ni datos de clientes.
Los reclamos de PIA de que no hay registro fueron verificados tanto en una investigación en 2016 (se requiere suscripción de Scribd para ver el enlace) como en un caso de la corte en 2018.
Perfect Privacy declaró en su blog que las autoridades de Rotterdam, Países Bajos, se apoderaron de uno de sus servidores para intentar obtener datos de clientes, pero no pudieron hacerlo.
Saber quién está detrás de su VPN es un gran paso para confiar en ellos. Algunas VPNs ofrecen un gran servicio o precio, pero tienen poca o ninguna idea de quién las está manejando exactamente. Consideramos los comentarios de los expertos en seguridad, incluido el equipo de seguridad de la información de The New York Times (empresa matriz de Wirecutter), sobre si se podía confiar incluso en la VPN más atractiva si la empresa no estaba dispuesta a revelar quién estaba detrás de ella. Decidimos que preferiríamos renunciar a otros aspectos positivos, como una velocidad más rápida o funciones de comodidad adicionales, si eso significaba saber quién dirigía o era el propietario de la empresa que proporcionaba nuestras conexiones. Dada la explosión de compañías que ofrecen servicios VPN y la naturaleza trivial de establecer uno como una estafa, tener un equipo de liderazgo orientado al público -especialmente uno con una larga historia de lucha activa por la privacidad y la seguridad en línea- es la forma más concreta en que una compañía puede generar confianza.

Otro factor importante que buscábamos: auditorías de seguridad publicadas por terceros de confianza, que son mucho más comunes de lo que han sido en el pasado reciente.

Las auditorías de seguridad no son perfectas. Aunque las empresas independientes evalúan la tecnología de un proveedor de VPN lo mejor que pueden, están limitadas a un momento en el tiempo. No hay garantías de que las VPNs tengan la misma tecnología o prácticas de seguridad al día siguiente. Además, los auditores están limitados por el tiempo y a veces son contratados para examinar sólo ciertos aspectos de una VPN.

Para esta guía, insistimos en que nuestras selecciones de VPN hayan publicado auditorías de seguridad de terceros de su producto principal.

“No van a estar íntimamente familiarizados con toda la compañía. No van a tener tiempo de revisar cada línea de código. Se les da un conjunto de restricciones, por lo general una cantidad muy pequeña de tiempo que preferirían que fuera más largo, y no están familiarizados con ninguna de las tecnologías antes del primer día y necesitan resolverlo todo”, dijo Dan Guido, de Trail of Bits.

Sin embargo, las empresas de software y los proveedores de servicios que están dispuestos a comprometerse con auditores externos para revisar su código e implementación -y hacer públicos los resultados- envían una señal de confianza. Para esta guía, insistimos en que nuestras selecciones de VPN hayan publicado auditorías de seguridad de terceros de su producto principal (en lugar de sólo su extensión de navegador web).

Algunas VPNs han realizado auditorías sin registro para demostrar que están cumpliendo con sus promesas de privacidad. Al igual que con las auditorías de seguridad, nunca hay una garantía de que las prácticas establecidas durante las auditorías no cambien al día siguiente, si así lo exige un gobierno, por ejemplo. E incluso si las empresas tienen la intención de cumplir sus promesas, es posible que inadvertidamente no logren asegurar los datos que se les ha confiado proteger. Aunque el movimiento hacia la transparencia con las auditorías sin registro es positivo, la competencia hace obligatorio que éstas se combinen con una auditoría de seguridad que pueda ayudar a encontrar vulnerabilidades para que las empresas puedan parchearlas o mitigarlas.

Si usted se queda sin privacidad y servicios de seguridad, puede terminar sin privacidad y sin seguridad.

Incluso si sabe quién está detrás de su VPN, no debería confiar en uno gratuito. Un servicio gratuito hace que usted y sus datos sean el producto, por lo que debe asumir que cualquier información que recopile sobre usted, ya sea un historial real de navegación o datos demográficos como la edad o la afiliación política, se vende a alguien o se comparte con él.

Si usted se queda sin privacidad y servicios de seguridad, puede terminar sin privacidad y sin seguridad. Como dijo Bill McKinley, jefe del equipo de seguridad de la información del New York Times: “Si puedo gastar más en bananas orgánicas, puedo gastar más para tener confianza en un proveedor de VPN.”

Algunos revisores de VPN se centran en las VPNs que se encuentran en el extranjero, creyendo en los beneficios de privacidad de estas localidades y tratando de mantenerse alejados de los llamados Catorce Ojos, los 14 países,

incluidos los Estados Unidos, que comparten activamente los datos de inteligencia obtenidos a través de la vigilancia en Internet. Pero dependiendo de la ubicación, esa misma falta de regulación puede dejar a la gente desprotegida contra la comercialización fraudulenta, lo que constituye una importante compensación. Joseph Jerome, asesor de políticas del Centro para la Democracia y la Tecnología, nos dijo que las compañías que violan su propia política de privacidad o que afirman que la tala de árboles sería “un ejemplo de libro de texto de una práctica engañosa bajo las leyes estatales y federales de protección al consumidor”, y que en teoría “la FTC podría buscar un mandamiento judicial que prohibiera la práctica engañosa, así como la posibilidad de obtener una restitución u otro tipo de compensación monetaria”.

El Centro para la Democracia y la Tecnología presentó una queja de este tipo contra un proveedor de VPN en 2017, aunque no se ha anunciado ninguna investigación. Muchos sitios de privacidad sugieren encontrar un servicio VPN fuera de los ojos entrometidos de las agencias de inteligencia estadounidenses y sus aliados, pero las protecciones de la FTC podrían ser un argumento para encontrar uno en los EE.UU. para que haya una penalización si engaña a sus clientes.

Limitaciones de las VPNs
Las VPNs no son una herramienta para el anonimato, y tenemos una guía separada con una explicación más detallada de lo que una VPN puede y no puede hacer. Pero como mínimo, cualquiera que se registre en una VPN debe saber que es posible que los proveedores vean su tráfico, y más allá de eso, otras partes tienen formas de rastrear su identidad incluso si usted utiliza una VPN.

Hay tres escenarios comunes en los que otras partes podrían vincular rápidamente sus hábitos en línea. Si accede a una cuenta de Google desde su casa sin una VPN, Google tiene un registro de la dirección IP de su casa. Aunque active el modo privado o de incógnito de su navegador y no inicie sesión, sus búsquedas “privadas” también estarán vinculadas a su dirección IP y, a continuación, volverán a su cuenta de Google. Si conecta su VPN y accede a su cuenta de Google una sola vez, su dirección IP VPN “anónima” se vincula de forma igual de trivial a su historial de navegación secreto.

De hecho, las solicitudes de datos del gobierno han incluido la solicitud de datos a los proveedores de servicios de Internet de cuentas vinculadas a otras cuentas: si Google sabe qué VPN utiliza y que hay varias cuentas en su equipo, entonces sabe que sus cuentas están vinculadas, al igual que cualquier otra persona con la que comparte esos datos.

Incluso si usted practicara la separación perfecta, las VPN no pueden protegerse contra las cookies del navegador y las técnicas de huellas dactilares del navegador que pueden rastrearlo independientemente de los inicios de sesión y las direcciones IP.

Las personas en los EE.UU. que creen que las VPNs offshore protegerán sus identidades en caso de actividad delictiva se sentirán decepcionadas al enterarse de que el gobierno de los EE.UU. en realidad tiene tratados de asistencia legal mutua con docenas de países en todo el mundo.

Cómo elegimos

Para reducir los miles de proveedores de VPN a una lista manejable, examinamos las VPN que aparecen en las reseñas de fuentes como CNET, PCMag y The Verge, así como las recomendaciones de la organización sin fines de lucro Freedom of the Press Foundation y de la empresa de seguridad Bishop Fox. También examinamos las VPNs que habían respondido a las preguntas de la encuesta de Señales de VPNs Confiables del Centro para la Democracia y la Tecnología (Center for Democracy & Technology’s Signals of Trustworthy VPNs). Los combinamos con investigaciones y recomendaciones de fuentes no comerciales como That One Privacy Site, experiencias de clientes y consejos sobre la subredifusión de VPN, y reseñas en App Store y Google Play Store. Apilamos esta investigación encima de nuestro trabajo en años anteriores que se centraba en sitios web como vpnMentor y TorrentFreak y sitios web centrados en la tecnología como Lifehacker y Ars Technica, así como en aquellos servicios que sólo estaban en los radares personales de nuestro personal.

Nos decidimos por 53 VPNs que fueron recomendadas repetidamente o al menos tan visibles que es probable que las encuentre cuando compre un proveedor de VPN. A partir de ahí, indagamos en los detalles de cómo cada uno manejó los temas desde la tecnología hasta las suscripciones, así como los pasos que han dado para mejorar su transparencia y postura de seguridad.

Confianza y transparencia

El mínimo: auditorías publicadas de cualquier tipo por una tercera empresa de buena reputación; liderazgo de cara al público.
Lo mejor: auditorías de seguridad exhaustivas y publicadas por una empresa externa de confianza; informes de transparencia; un programa de corrección de errores o un proceso coordinado de revelación de vulnerabilidades.

Revisamos minuciosamente todas las auditorías, prestando especial atención a lo exhaustivas que eran y a lo que incluían. También tuvimos en cuenta en qué empresas había liderazgo o propiedad pública. Buscamos auditorías de empresas de terceros, dando prioridad a aquellas que evaluaban la seguridad general de un proveedor de VPN.

Política de privacidad y condiciones del servicio
El mínimo: una copia de marketing coherente con la política de privacidad y las condiciones del servicio.
Lo mejor: políticas fáciles de leer; compañías ubicadas en países con fuertes protecciones al consumidor.

Las VPNs que elegimos registran la información mínima. Buscamos términos de servicio y políticas de privacidad claros y fáciles de leer y verificamos para confirmar que fueran consistentes con la copia de marketing del sitio. Preguntamos a las empresas sobre su seguridad interna y su privatización.

Política de prueba o reembolso
Lo mínimo: algún tipo de versión gratuita o de prueba
Lo mejor: una garantía de devolución de dinero

A pesar de nuestras extensas pruebas, sabemos que las VPNs funcionan de forma diferente en diferentes ubicaciones y en diferentes ordenadores y redes. Una versión de prueba o una versión gratuita de una VPN puede permitirle probar varias de ellas sin riesgo para ver si alguna se ajusta mejor a sus circunstancias específicas.

Red de servidores

El mínimo: al menos 75 ubicaciones de servidores en al menos 20 países.
Lo mejor: más de 1.000 servidores

Cuantos más servidores tenga una red en cada una de sus ubicaciones, mayor será la probabilidad de obtener una conexión rápida. Además, una VPN con una amplia variedad de ubicaciones de servidores puede ayudarle a geoshift su ubicación sin perder conectividad, o conectarse a una parte del mundo menos congestionada. Sin embargo, las VPNs tienden a ser más lentas en las horas punta, incluso en las redes más robustas, debido al limitado ancho de banda dentro y fuera de un área.

Seguridad y tecnología

El mínimo: OpenVPN con autenticación SHA-256; RSA-1024 o mejor handshake; encriptación de datos AES-256-GCM o AES-256-CBC
El mejor: RSA-2048 o RSA-4096

Toda la confianza del mundo no ayudará a un proveedor de VPN a mantener su información de navegación privada si no es segura. Recomendamos que la mayoría de las personas utilicen conexiones basadas en el protocolo OpenVPN debido a fallos de seguridad y desventajas en los protocolos PPTP y L2TP/IPsec. Los técnicos experimentados pueden considerar IKEv2, pero debido a que tiene sus propios pros y contras debatidos, lo descartamos. El protocolo WireGuard de código abierto es un nuevo protocolo ligero que está ganando importancia y que eventualmente estará disponible en el núcleo de Linux, pero estamos esperando que se someta a una auditoría de seguridad adicional antes de recomendarlo.

Aunque la encriptación AES de 128 bits está bien para la mayoría de los propósitos, preferimos servicios que por defecto son más seguros de 256 bits y que ofrecen un buen rendimiento. Y aunque RSA-1024 está bien para la mayoría de los propósitos, preferimos el RSA-2048 o RSA-4096 como nuestro estándar superior.

Interruptor de apagado

Lo mínimo: un interruptor de apagado que es efectivo y que se puede activar con un solo clic.
Lo mejor: reglas personalizables que le permiten activar un interruptor de apagado al inicio o en redes específicas

Cuando se activa un “kill switch” VPN, el software VPN debe cerrar todo el tráfico de red que entra y sale de su ordenador o dispositivo móvil en caso de que falle la conexión cifrada. Sin un conmutador de apagado, si su Wi-Fi falla o hay otro problema de conectividad, su VPN ya no estará protegiendo la conexión. En algunos casos, el software VPN ni siquiera le alerta de que ya no está protegiendo su tráfico, eliminando así todos los beneficios de usarlo en primer lugar.

Consideramos que los interruptores de apagado son obligatorios, pero las personas que no pueden conectarse a su Wi-Fi doméstica, por ejemplo, pueden simplemente apagar su VPN por frustración. Por eso también buscamos aplicaciones que te permitan establecer fácilmente tus propias reglas sobre cuándo debe activarse el interruptor de apagado y cuándo no, con el fin de personalizar la experiencia.

Una captura de pantalla de cuatro ventanas de conexión VPN dispuestas en diagonal a través de una pantalla de escritorio.
Las aplicaciones VPN de escritorio son relativamente simples, pero las mejores hacen que sea rápido y fácil conectarse al servicio y encontrar configuraciones importantes.
Plataformas
Lo mínimo: aplicaciones nativas para Windows y Mac
Lo mejor: aplicaciones nativas para Android e iOS, sistemas operativos adicionales, routers y televisores inteligentes.

Consideramos que las aplicaciones nativas para Windows y Mac son una necesidad porque son mucho más fáciles de usar que las aplicaciones VPN de código abierto o de terceros. Preferimos las aplicaciones nativas para iOS y Android también porque, aunque es posible configurar manualmente el teléfono para que utilice una VPN, no es exactamente un proceso fácil ni fácil de usar.

Número de conexiones
El mínimo: tres conexiones simultáneas
Lo mejor: cinco o más conexiones simultáneas

Aunque la mayoría de los proveedores de VPN le permiten instalar su software en tantos dispositivos como desee, la mayoría de ellos limitan las conexiones simultáneas. Un límite de tres conexiones es probablemente suficiente para la mayoría de las personas, pero cinco conexiones son más flexibles para parejas, familias o personas con muchos dispositivos.

Soporte

Lo mínimo: soporte por correo electrónico, con respuestas enviadas dentro de las 24 horas hábiles; sección de ayuda robusta.
Lo mejor: correo electrónico; soporte por chat durante los pedidos de negocios; respuesta rápida a los tickets de fin de semana

Si no puede configurar o utilizar de forma fiable su VPN, no la utilizará, con lo que se eliminan todas las ventajas. Una extensa sección de ayuda en el sitio web puede resolver muchos problemas. Aunque consideramos que el soporte de chat en línea es el estándar de oro, las respuestas rápidas y claras a los correos electrónicos pueden ser igualmente útiles.

Funciones adicionales

Algunas VPNs ofrecen características adicionales que pueden ser agradables de tener pero que no fueron cruciales para nuestra toma de decisiones:

Opciones de pago adicionales: Cryptocurrency, dinero en efectivo, PayPal, Amazon Pay, transferencia bancaria, saldos de tarjetas de regalo, e incluso tarros de miel son aceptados para el pago, pero como una VPN no garantiza el anonimato (ver la sección sobre limitaciones), no creemos que una gama tan amplia de opciones sea crucial para la mayoría de la gente.
Modos de sigilo: Un modo oculto ayuda a sortear las redes que bloquean las VPN haciendo que su tráfico VPN cifrado parezca otro tipo de datos.
Bloqueadores de anuncios personalizados: Aunque esta es una característica agradable de tener en una VPN, usted puede encontrar un número de extensiones de navegadores confiables y gratuitos para este propósito.
Conexiones multisalto: Para mayor encriptación y ofuscación, algunas VPNs pueden enrutar su tráfico a través de múltiples servidores. Sin embargo, esto es innecesario para la mayoría de las personas y puede reducir la velocidad.
Orden de registro de canarios: Muchas compañías exhiben orgullosamente “canarios de garantía” en sus sitios web. Son avisos firmados digitalmente que dicen algo así como: “Nunca hemos recibido una orden de registro de tráfico o de entrega de información de clientes”. La aplicación de la ley puede prohibir que una compañía discuta una investigación, pero en teoría no puede obligar a una compañía a mentir activamente. Así que la teoría dice que cuando la orden canaria muere -es decir, el aviso desaparece del sitio web porque ya no es veraz- también lo hace la privacidad. La EFF apoya esta posición legal, aunque dejó de rastrear a los canarios de órdenes de registro en 2016; otras compañías y organizaciones altamente reconocidas piensan que los canarios de órdenes de registro son útiles sólo para informarle después de que el daño ha sido hecho. Estos avisos pueden proporcionar una buena sensación de seguridad, y son importantes para algunas personas, pero no los consideramos esenciales.
Cómo probamos
Después de pasar por los criterios anteriores, redujimos nuestra lista inicial a sólo cinco servicios que cumplían con nuestros requisitos. Nos inscribimos en cada uno de ellos y profundizamos en sus políticas, tecnología y rendimiento en un portátil Acer, un MacBook Pro, un iPhone y un teléfono Samsung.

Prueba de velocidad

La velocidad de navegación y la latencia mientras esté conectado a una VPN dependerán de la ubicación física del servidor VPN -con un servidor ubicado muy lejos, sus datos tardarán más en llegar- y del ancho de banda de la conexión a Internet del proveedor de VPN.

Probamos cada servicio utilizando Ookla, que tiene un enfoque “multihilo” para las pruebas, utilizando hasta 16 secuencias. Las pruebas multihilo, según un informe técnico de OTI de 2016, tienen una mayor tolerancia a las pérdidas de paquetes de fondo y pueden ofuscar las deficiencias de la red, por lo que tienden a ser más indulgentes que otras pruebas. Aunque otras opciones de calificación como la prueba de velocidad de M-Lab pueden ser una mejor medida de los resultados del mundo real, en nuestra experiencia las pruebas de Ookla funcionaron en todos los servicios y nos permitieron obtener una verdadera comparación relativa. Además, los datos de Ookla han sido citados por la FCC en publicaciones que incluyen el primer Informe de Mercado de Comunicaciones Consolidadas (PDF) de la agencia, según el blog de la compañía.

Realizamos cada prueba en el software de Windows para cada VPN en su configuración predeterminada, con nuestro ordenador de prueba conectado a través de Gigabit Ethernet a un módem de cable sin ningún otro tráfico que lo atraviese. Registramos tasas de descarga de referencia de casi 120 Mbps sin una VPN activa y comprobamos nuestras velocidades no VPN a intervalos aleatorios para asegurarnos de que nuestro ISP local no estuviera afectando a las pruebas.

Estas dos pruebas muestran cómo el uso de una VPN, especialmente un servidor a distancia, generalmente ralentizará su conexión a Internet. Hicimos esta primera prueba de velocidad en el sur de California sin una conexión VPN. Esta grabación de pantalla se ha acelerado, por lo que el tiempo de conexión puede ser mayor que el representado.

Estas dos pruebas muestran cómo el uso de una VPN, especialmente un servidor a distancia, generalmente ralentizará su conexión a Internet. Hicimos esta segunda prueba de velocidad en el sur de California con una conexión VPN a un servidor en el Reino Unido. Esta grabación de pantalla se ha acelerado, por lo que el tiempo de conexión puede ser mayor que el representado.

Para los servicios que ofrecían selección automática de ubicación, una función diseñada para ofrecerle la mejor velocidad posible, también realizamos las pruebas en cualquier ubicación que eligiera el software VPN.

Realizamos la serie completa de pruebas con cada ubicación durante tres períodos de tiempo que elegimos para ver si las horas punta de Internet reducían drásticamente el rendimiento:

Comprobación de la eficacia

Para verificar que cada servicio que utilizamos ocultaba nuestra verdadera dirección IP de manera efectiva, utilizamos una herramienta de geolocalización, así como sitios que detectan fugas de DNS y fugas de WebRTC. Visitamos los sitios Web de Yelp, Target y Akamai -sitios que a veces ponen en una lista negra direcciones IP sospechosas- para asegurarnos de que las direcciones IP VPN no nos impedían acceder a ellas.

Aplicaciones de escritorio y móviles

También evaluamos la interfaz y la experiencia de las aplicaciones de escritorio y móviles de todos los servicios de alto rendimiento. Configuramos la aplicación Android de cada servicio en un teléfono Samsung con Android 8.0 Oreo. Utilizamos aplicaciones iOS, cuando estaban disponibles, en un iPhone 7 con iOS 12.3. También configuramos ambos teléfonos para ejecutar Mullvad, que no tiene aplicaciones iOS o Android independientes. Analizamos el proceso de pago, la facilidad de configuración y conexión de cada aplicación y las opciones disponibles en el panel de configuración.

Atención al cliente

Nos pusimos en contacto con cada uno de nuestros cinco finalistas con preguntas sencillas acerca de su servicio y solución de problemas. Las empresas VPN ofrecen soporte técnico a través de sistemas de venta de entradas en línea o a través de chat en vivo, pero algunas opciones de chat no están disponibles fuera de las horas de oficina. Nuestros tiempos de respuesta para apoyar las consultas variaron desde respuestas inmediatas en el chat hasta dos días. Los sitios de soporte de autoayuda pueden ser útiles cuando está esperando una respuesta con la incapacidad de conectarse, por lo que hemos analizado tanto la velocidad de respuesta como la solidez de la información de resolución de problemas disponible en la sección de soporte del sitio.

Entrevistas y apertura

Basándonos en nuestras pruebas de rendimiento, redujimos nuestra lista de cinco contendientes a tres: TunnelBear, Mullvad y IVPN. Llegamos a estos finalistas para obtener más información sobre sus operaciones para juzgar su confiabilidad y transparencia, y hablamos con dos de ellos por teléfono y uno por correo electrónico.

Nuestra elección: TúnelBEAR

Confianza y seguridad

Comprar en TunnelBear

TunnelBear se distinguió por su transparencia y confianza. Y en nuestras pruebas, fue fácil de usar -divertido, parejo- y proporcionó algunas de las velocidades más rápidas de cualquier servicio que probamos. Las aplicaciones dedicadas para Windows, macOS, Android e iOS facilitan la configuración en una gran variedad de dispositivos, incluso si tiene pocos conocimientos técnicos. La suscripción anual de TunnelBear tiene un precio razonable, y una suscripción puede soportar hasta cinco conexiones simultáneas a la vez, por lo que es fácil de usar en todos sus dispositivos también.

Aunque es difícil confiar en una VPN en general, TunnelBear superó nuestras expectativas en cuanto a las señales de confianza, ofreciendo un informe de transparencia, una auditoría de seguridad completa y unas condiciones de servicio y una política de privacidad claras y fáciles de entender. Antes de la mayor parte de la competencia, publicó su primer informe de auditoría de seguridad pública en 2017. En octubre de 2018, la empresa Cure53 publicó otro informe en el que se analizaba la extensa y completa auditoría de seguridad (PDF) que había realizado para TunnelBear.

Durante la auditoría de seguridad 2018 de TunnelBear, ocho miembros de Cure53 pasaron un total de 34 días evaluando cómo la VPN resistiría a un atacante determinado. Ni Mullvad ni IVPN, que también contrataron Cure53, tuvieron auditorías tan extensas: Mullvad’s se limitó a aplicaciones y funciones de soporte, mientras que IVPN’s fue más corto y se limitó a probar sus afirmaciones de que no registra datos identificables por el usuario.

TunnelBear fue adquirida por McAfee en marzo de 2018, pero el sitio TunnelBear declara que opera de forma independiente, sin compartir con McAfee la información de los clientes de TunnelBear. Además, formar parte de una empresa con sede en EE.UU. significa que TunnelBear, que tiene su sede en Canadá, está sujeta a la protección de la privacidad del consumidor estadounidense. La protección del consumidor es más difícil de determinar para las VPNs que operan fuera de los países en los que implican que sus actividades están fuera del estado de derecho.

Apreciamos especialmente los informes de transparencia publicados por TunnelBear. Más recientemente, en noviembre de 2018, TunnelBear enumeró la cantidad de solicitudes legales que había recibido entre el 1 de abril y el 30 de septiembre de 2018 (cuatro), el número de veces que la compañía confirmó que un individuo tenía una cuenta (una) y la cantidad de veces que proporcionó datos de uso (cero). El próximo informe se publicará en noviembre de 2020.

Sin embargo, los informes de transparencia no destacan tanto como las impresionantes y repetidas auditorías, porque otras redes privadas virtuales -incluidas IVPN, ProtonVPN y PIA, así como CyberGhost (PDF), Hotspot Shield/AnchorFree (PDF), HideMyAss/Avast, NordVPN, OVPN y Surfshark- tienen informes similares.

La aplicación TunnelBear es impresionantemente fácil de usar. Haga clic para activarlo y luego seleccione un país. También puede configurarlo para que se conecte automáticamente al servidor más rápido.

Un video clip que muestra la interfaz de selección del servidor usando TunnelBear.
La aplicación TunnelBear te permite elegir a qué lugar conectarte, o puedes elegir “Auto” y dejar que la aplicación determine la conexión más rápida. Esta grabación de pantalla se ha acelerado, por lo que el tiempo de conexión puede ser mayor que el representado.
Si se encuentra en una conexión a Internet muy gestionada, ya sea con censura gubernamental o simplemente con Wi-Fi universitaria, es posible que las conexiones VPN estándar estén bloqueadas o estranguladas debido a una profunda inspección de paquetes, una forma de que los proveedores analicen qué tipo de tráfico está pasando por una red, incluso cuando no pueden ver el contenido real. Para lugares donde la censura puede ser un problema, TunnelBear ofrece una herramienta llamada GhostBear, que disfraza su tráfico de datos más ho-hum para que pase por esos tipos de bloques, como un niño parado sobre los hombros de otro en una gabardina para pasar como adulto, pero más convincente. TunnelBear también tiene una opción de Override TCP, que le obliga a usar TCP en lugar de UDP; TCP es un protocolo ligeramente más lento que podría funcionar mejor en conexiones poco fiables. Hacer que los datos de VPN sean menos detectables en la red puede ayudar a sortear los sitios que restringen las VPN. (IVPN tiene una característica similar en su aplicación de escritorio.) Sin embargo, esta característica no está disponible en iOS debido a restricciones en la forma en que iOS está diseñado.

TunnelBear ofrece un interruptor de apagado, llamado VigilantBear, que detiene todo el tráfico si la VPN se desconecta. Al igual que con otros competidores que probamos, con TunnelBear esta función funcionó como se prometió y mantuvo nuestra navegación y conexiones fuera de línea hasta que se confirmó la conexión VPN. La aplicación también le permite etiquetar redes Wi-Fi individuales como de confianza, una característica que IVPN también tiene.

Una captura de pantalla de la función VigilantBear en TunnelBear que permite a los usuarios protecciones de seguridad adicionales.
La función VigilantBear actúa como un interruptor de apagado para evitar la fuga de datos en caso de problemas de conexión. GhostBear tiene la intención de disfrazar el tráfico VPN para conectarse en redes restringidas o censuradas.
En cuanto a los estándares de seguridad y conexión que utiliza TunnelBear, es competitivo con el resto de servicios VPN que hemos encontrado fiables. Como todos los servicios que hemos considerado seriamente, TunnelBear utiliza el estándar OpenVPN en Windows, Mac y Android, y utiliza IPsec en dispositivos iOS. Aunque preferimos que OpenVPN también esté disponible en dispositivos iOS, TunnelBear no publica claves IPsec pre-compartidas, evitando así uno de los principales problemas con el protocolo, ya que las claves compartidas públicamente hacen que las conexiones asociadas sean triviales de romper o falsear. Y a diferencia de algunos de sus competidores, TunnelBear no utiliza el anticuado protocolo PPTP VPN, que ha sido fundamentalmente inseguro durante años.

Las condiciones de servicio y la política de privacidad de TunnelBear están redactadas en un lenguaje muy claro. Aunque IVPN y Mullvad tienen términos de servicio bastante legibles -incluyendo detalles sobre qué tipo de información recopilan esas compañías y cómo la utilizan- tampoco ofrecen los sencillos resúmenes de los puntos más importantes que hace TunnelBear, que no son de abogados. Encontramos que la política de privacidad de Mullvad es la más jerga; esa página de política también tiene enlaces a documentos adicionales que explican la política de cookies de la empresa, su política de no registro y la legislación sueca que considera relevante como proveedor de VPN.

Cuando se trata de la recopilación de datos, TunnelBear declara claramente que no registra direcciones IP o monitorea, recopila, analiza o almacena información sobre sus aplicaciones, sus servicios o los sitios web que la gente visita mientras está conectada a sus servicios. Si debe cumplir con la aplicación de la ley en respuesta a una citación, orden u otro documento legal que se entregue, dice que el alcance de la divulgación se limita a la información personal proporcionada en el momento del registro, el número total de conexiones y el ancho de banda total, en megabytes, utilizado ese mes. Esta política está a la par de la de los grandes competidores Mullvad e IVPN. TunnelBear dice que no almacena ni puede proporcionar el nombre, dirección, teléfono, datos de nacimiento, dirección IP, registros de conexión o registros de actividad de un cliente.

Una captura de pantalla de TunnelBear que muestra una pantalla que permite a los usuarios descargar, borrar o corregir sus datos personales.
TunnelBear hace que sea extremadamente fácil descargar, corregir o borrar sus propios datos.
Para cumplir con el Reglamento General de Protección de Datos de la UE, las VPNs que operan en Europa deben permitir a los clientes recibir una copia de sus propios datos, corregirlos o eliminarlos. TunnelBear hace todo esto especialmente fácil de hacer, con sólo unos pocos clics directamente en el sitio web.Cuando descargué mis datos, tenía una identificación de usuario, un nombre de usuario, los últimos cuatro dígitos de mi tarjeta de crédito, mi apellido, la fecha, la razón por la que los descargué (lo que hice para probar el proceso de cancelación), la versión que utilicé, la última vez que se actualizaron los datos, el número de paquetes que utilicé, la clave de verificación y algunas otras cosas, todo como se indica en la política de privacidad. Aunque IVPN y Mullvad ofrecen dos formas de solicitar una copia de los datos que la compañía ha almacenado relacionados con su cuenta, TunnelBear es el único servicio que hemos probado que le permite descargar, actualizar o eliminar datos directamente del sitio web.

Una captura de pantalla de los niveles de precios disponibles en TunnelBear.
La mayoría de las VPNs, incluyendo TunnelBear, ofrecen el mejor precio si usted paga por un año a la vez.
TunnelBear acepta MasterCard, Visa y American Express. También acepta el pago en forma de Bitcoin y tarros de miel. En serio, frascos de miel. Aunque TunnelBear no tiene una versión de prueba ni una garantía de devolución de dinero, tiene una versión gratuita que es fácil de usar y cubre hasta 500 MB de datos al mes, lo que permite una rápida prueba de conducción.

TunnelBear ofrece soporte por correo electrónico y dice que su objetivo es responder en un plazo de dos días, pero hemos recibido una respuesta a una consulta en menos de 12 horas y fuera del horario laboral. La sección de ayuda del sitio es extensa y responde automáticamente a los correos electrónicos de ayuda con artículos usando las palabras clave discutidas.

Defectos pero no rompecabezas

Aunque la velocidad media del servidor de TunnelBear en EE.UU. era superior a la de la competencia, su media general no era la velocidad más rápida que vimos en nuestras pruebas. A pesar de los 4.000 servidores que tiene en más de 20 países, las videollamadas que realizamos a través de TunnelBear en tiempos de alto tráfico se vieron afectadas por problemas de calidad y de conectividad, por lo que no recomendamos realizar videollamadas importantes a través de este servicio. De lo contrario, no tuvimos problemas para navegar desde la mayoría de las ubicaciones.

TunnelBear no fue la VPN más rápida que probamos en general, pero sus velocidades en los servidores de los Estados Unidos fueron las más rápidas.
Para continuar mejorando su velocidad, TunnelBear ha estado añadiendo endpoints, trabajando en la resistencia de cómo se conectan las aplicaciones y, en algunos casos, pasando de conexiones de 1 GB a 10 GB donde se encuentran sus centros de datos.

Buena seguridad, no apto para móviles

Mullvad no tiene aplicaciones iOS o Android independientes, y no es tan fácil de configurar en móviles, pero a menudo es más rápido que TunnelBear, con garantías de seguridad similares.

Comprar en Mullvad

Si no planeas usar tu VPN en tu teléfono, o si no te importa configurarlo manualmente si lo haces, Mullvad es una VPN rápida y económica que es bastante fácil de configurar en computadoras de escritorio o portátiles. La compañía pone un gran esfuerzo en la privacidad y la seguridad, de una manera que la convierte en una de las pocas compañías que merecen un lugar en nuestra lista de proveedores de confianza. Pero el complicado proceso de configuración en dispositivos iOS y Android lo hace menos ideal que TunnelBear para cualquiera que necesite una conexión VPN móvil.

Al igual que TunnelBear, Mullvad ha publicado en su sitio una auditoría de seguridad completa (PDF) realizada por expertos independientes, en este caso Cure53 y Assured. La auditoría de 18 días de Mullvad no fue tan intensa como la de 34 días de TunnelBear, pero todavía muestra resultados sólidos y un compromiso con las buenas prácticas de seguridad.

Un video clip que muestra la interfaz de conexión al servidor en Mullvad.
La aplicación de Mullvad le permite conectarse a servidores en 75 ubicaciones a través de 35 países, esta grabación de pantalla se ha acelerado, por lo que el tiempo de conexión puede ser más largo que el representado.
La política de privacidad de Mullvad establece que no recopila ni almacena registros de actividad de ningún tipo: Mullvad ni siquiera recopila una dirección de correo electrónico durante el proceso de registro. Por lo general, sólo almacena el número de cuenta y el tiempo restante en una cuenta, además de algunas otras configuraciones. Proporciona una descripción de los datos almacenados, por ejemplo, si los clientes realizan pagos a través de PayPal, Stripe, Swish o transferencia bancaria, o si envían un correo electrónico o informan de un problema; la información adicional para otros tipos de pagos se describe en varias páginas de políticas en el sitio. Almacena los ID de transacción y las direcciones de correo electrónico de las transacciones de PayPal, pero las elimina después de seis meses. Al igual que TunnelBear, Mullvad mantiene sus políticas integrales y transparentes.

TunnelBear es la única empresa de nuestro grupo de prueba que facilita la gestión y solicitud de una copia de sus datos desde la página de gestión de la cuenta, pero Mullvad también puede proporcionarle una copia si la solicita. La política de privacidad de Mullvad establece que las personas tienen derecho a solicitar una copia de los datos personales y un extracto del registro, y que éstos requieren

se cumplirá en el plazo de un mes a partir de la solicitud; no obstante, este plazo podrá prorrogarse si la solicitud es especialmente compleja, y la empresa informará al sujeto de los datos si es necesaria una prórroga y el motivo de la misma.

Mullvad ni siquiera recopila una dirección de correo electrónico durante el proceso de registro.

Amagicom, la empresa que está detrás de Mullvad, tiene su sede en Suecia, y dice que aunque no registra datos, puede almacenar datos personales cuando se realizan pagos. Como ya hemos comentado en nuestra sección sobre la confianza en una VPN, el uso de un servicio VPN que está sujeto a las leyes de EE.UU. y a la protección del consumidor -como TunnelBear- proporciona cierto nivel de protección al consumidor en caso de que las empresas violen sus propias políticas de privacidad y términos de servicio. Otros revisores e investigadores sostienen que los servicios fuera de los EE.UU. son menos propensos a ser barridos en los esfuerzos de recolección de datos del gobierno de los EE.UU.

La página de Mullvad sobre el manejo de las solicitudes de datos del gobierno dice que aunque retiene abogados para monitorear el panorama legal, está preparada para cerrar el servicio en la jurisdicción afectada si un gobierno de alguna manera lo obliga legalmente a espiar a sus clientes: “Del mismo modo que no se puede revelar ningún dato si no existe primero, el servicio no se puede utilizar como herramienta de vigilancia si no está en funcionamiento”, dice la empresa.

A pesar de que la empresa está ubicada en Suecia, su transparencia es otra señal fuerte de confianza. Es propiedad directa de los fundadores Fredrik Strömberg -que trabaja en investigación y desarrollo en el campo de la seguridad- y Daniel Berntsson, y cuenta con empleados en su sitio. Descartamos algunos servicios VPN populares y prometedores, como ExpressVPN, por no tener claro cuáles son sus equipos de propiedad y liderazgo. Además, según el director ejecutivo de Mullvad, muchas de las personas de su equipo utilizan Qubes, un sistema operativo centrado en la seguridad, diseñado para mantener aislado y seguro el trabajo delicado, incluso si un atacante viola otra parte del equipo.

Mullvad tuvo el promedio más alto de velocidad de conexión en nuestras pruebas, aunque otros proveedores lo superaron en algunos lugares. Nota: TunnelBear localiza sólo a nivel de país, no a nivel de ciudad, por lo que hemos reportado su resultado en EE.UU. tanto en el grupo de NY como en el de LA.
Mullvad tenía el promedio más alto de velocidad de conexión de todos los servicios y ubicaciones de servidores que probamos. A través de ocho ubicaciones y su configuración automática, tenía un promedio de 55 Mbps, superando a IVPN en aproximadamente 50 Mbps y TunnelBear en 40 Mbps. Aún así, todos funcionaron bien en las tareas básicas de navegación web; en todas las conexiones VPN que probamos, tuvimos un poco más de problemas con las videollamadas que cuando teníamos las VPN desactivadas. Mullvad tiene alrededor de 364 servidores en 75 ubicaciones en 35 países, más que las 43 ubicaciones que ofrece IVPN.

Todas las conexiones de Mullvad actualmente usan OpenVPN. Exigimos eso de todos los servicios que probamos, aunque nuestros requisitos pueden cambiar en el futuro a medida que el nuevo protocolo WireGuard pase por las pruebas y se vuelva estable.

Además de los extras básicos, como un interruptor de apagado para evitar que se filtren datos si la conexión VPN es inestable, Mullvad también ofrece algunas funciones adicionales que ningún otro proveedor ofrece. Por ejemplo, puede descargar el software usando el TorBrowser o usarlo en Linux. Aunque la mayoría de los clientes no se beneficiarán de estos extras, la existencia de estas opciones demuestra que la empresa ha invertido mucho tiempo y ha pensado en la privacidad y la seguridad.

Una captura de pantalla de la página de configuración de Mullvad.
Mullvad ni siquiera requiere una dirección de correo electrónico cuando te registras, y cuesta lo mismo si te registras por un mes o un año.
Si no desea comprometerse a un año completo de servicio, Mullvad es alrededor de un 40 por ciento más barato que TunnelBear cuando está pagando por el servicio mes a mes. Nos gusta que también ofrece una garantía de devolución de dinero de 30 días, así que puedes probarlo y ver si las velocidades del servidor y las conexiones funcionan para ti. Cuando te registras para obtener una cuenta, puedes pagar con tarjeta de crédito, Bitcoin, Bitcoin Cash, PayPal o Swish. (Aunque acepta pagos en efectivo, estos no son elegibles para la garantía de devolución de dinero.)

El mayor defecto de Mullvad es que todavía no tiene aplicaciones independientes para dispositivos móviles, aunque las está desarrollando. Aunque es posible configurar Mullvad para que funcione en su teléfono, el proceso es lento y algo frustrante tanto en iOS como en Android. Las aplicaciones para móviles de TunnelBear y otros competidores hacen que sea mucho más fácil usar una VPN en tu teléfono, y no recomendamos Mullvad para cualquiera que necesite asegurar una red móvil

Qué esperar con impaciencia

Tanto TunnelBear como Mullvad están mejorando: TunnelBear está trabajando para mejorar aún más su velocidad, y Mullvad tiene en marcha aplicaciones iOS y Android.
IVPN, nuestra primera selección anterior, todavía se desempeñó bien en nuestras pruebas, pero la compañía aún tiene que completar una auditoría de seguridad, algo que ninguna otra compañía había hecho cuando hicimos nuestra selección de IVPN por primera vez. El CEO de IVPN nos dijo que tiene planeada una auditoría; reevaluaremos IVPN cuando se publique dicha auditoría.

IVPN y Mullvad permiten a la gente usar un nuevo y prometedor protocolo llamado WireGuard, que es ligero, rápido y fácil de configurar. El Senador Ron Wyden (D-Oregon), un notable defensor de la privacidad y seguridad en línea, ha recomendado al Instituto Nacional de Estándares y Tecnología que evalúe WireGuard como un reemplazo para IPsec y OpenVPN. Actualmente, el sitio web de WireGuard dice, “WireGuard aún no está completo. Usted no debe confiar en este código. No ha sido sometido a los grados adecuados de auditoría de seguridad y el protocolo aún está sujeto a cambios”. Estamos esperando que sea completamente liberado y auditado con un código estable.

La VPN de Cloudflare, Warp, está construida alrededor del formato WireGuard y funciona con el servicio DNS 1.1.1.1.1 de Cloudflare, pero por ahora el acceso a Warp sólo está disponible a través de una lista de espera en la aplicación 1.1.1.1.1.

¿Qué hay de los HTTPS?

Si la navegación HTTP es una postal que cualquiera puede leer mientras viaja, HTTPS (HTTP Secure) es una carta sellada que se rinde sólo por donde va. Por ejemplo, antes de que Wirecutter implementara HTTPS, su tráfico podía revelar la página exacta que visitó (como http://thewirecutter.com/reviews/best-portable-vaporizer/) y su contenido al propietario de la red Wi-Fi, a su administrador de red o a su ISP. Pero si usted visita esa misma página hoy -nuestro sitio web ahora utiliza HTTPS- esas partes sólo verán el dominio (https://thewirecutter.com). La desventaja es que el operador del sitio web tiene que implementar HTTPS. Los sitios que se ocupan de la banca o las compras han estado utilizando este tipo de conexiones seguras durante mucho tiempo para proteger los datos financieros, y en los últimos años muchos sitios de noticias e información importantes, incluyendo Wirecutter y el sitio de nuestra empresa matriz, The New York Times, también lo han implementado.

Los navegadores tienen listas cada vez más largas de características de privacidad que se incorporan directamente a sus configuraciones estándar, pero la extensión HTTPS Everywhere puede ayudarle a asegurarse de que navega por los sitios web a través de una conexión segura siempre que sea posible. Aunque las aplicaciones móviles han comenzado a utilizar conexiones seguras también, muchas no lo implementan o lo desactivan específicamente.

Incluso sin una VPN, los sitios web como estos, que por defecto son HTTPS, le ofrecen más privacidad en línea. Si no lo hicieran, mucha más información sobre sus hábitos de navegación estaría disponible para los curiosos, ya sean operadores de Wi-Fi, ISPs o actores independientes malos.
HTTPS es una herramienta poderosa porque ayuda a mantener la navegación privada sin costo adicional para las personas que la usan. Pero como la mayoría de los estándares de seguridad, tiene sus propios problemas. Ese pequeño icono de candado en la barra de su navegador, que indica la conexión HTTPS, se basa en un certificado “firmado” por una autoridad reconocida. Pero hay cientos de autoridades de este tipo, y como dice el EFF, “la seguridad de los HTTPS es tan fuerte como las prácticas de las autoridades de certificación menos fiables y competentes”. Además, ha habido muchas noticias que cubren vulnerabilidades menores e incluso mayores en el sistema. Algunos profesionales de la seguridad se han preocupado por las autoridades menos competentes, alentando a los grupos a mejorar los estándares de los certificados e incitando a los navegadores a añadir advertencias cuando se encuentran con certificados y sitios que no resisten el escrutinio. Así que HTTPS es bueno, pero como todo, no es perfecto.

¿Qué hay de Tor?

Tor es un servicio gratuito que intenta preservar el anonimato, algo que las VPNs no hacen. Es una red distribuida que ejecuta el tráfico a través de múltiples relés.

Si no estás familiarizado con Tor, este práctico gráfico interactivo muestra cómo protege una conexión a Internet, y esta serie entra en más detalles sobre cómo funciona Tor. Runa Sandvik, una antigua investigadora del Proyecto Tor que ahora forma parte del equipo de seguridad de la información del The New York Times (empresa matriz de Wirecutter), lo describió como “una herramienta que permite a los usuarios permanecer anónimos y sin censura”.

Tor no escribe ninguna historia en el disco, permitiéndote hacer búsquedas en Internet sin dejar un rastro de vuelta a ti o un rastro forense en tu ordenador.

Aunque no lo protegerá de, digamos, vigilancia gubernamental dirigida, Tor puede ser útil para buscar información privada, tal como información médica. sin que su actividad sea rastreada hasta usted o añadida a un perfil de marketing. Utiliza un circuito diferente de una dirección IP diferente en cada pestaña, lo que hace más difícil que otras partes vinculen sus búsquedas y cuentas entre pestañas. Sin embargo, Tor puede ser bloqueado por algunos sitios web y tiene una reputación de conexiones lentas.

¿Qué tal si crea su propia VPN?

Una forma de resolver el problema de la confianza es ser su propio proveedor de VPN, pero esa no es una opción factible para la mayoría de las personas. Además, sigue requiriendo confianza en cualquier empresa que proporcione el hardware en el que se ejecutaría su VPN, como los servicios en la nube de Amazon. Múltiples proyectos pueden ayudarle a convertir de forma económica cualquier servidor antiguo en una VPN, incluyendo Algo, Streisand y Outline. Al encriptar todo el tráfico de su casa o dispositivo móvil a un servidor que usted administra, usted priva a su ISP y a una VPN potencialmente malvada de todos sus jugosos registros de tráfico. Pero la mayoría de la gente carece de las habilidades, la paciencia o la energía -o de alguna combinación de las tres- para hacer esto. Si no gestiona servidores ni trabaja en TI, puede ser más difícil gestionar el funcionamiento y el rendimiento perfectos de lo que pueden hacerlo los profesionales de confianza. Por último, aunque elimine una amenaza de la ecuación eliminando un proveedor de servicios VPN, también pierde la capa extra de privacidad que proviene de su tráfico mezclado con el de cientos o miles de otros clientes.

La competición

Además de nuestras mejores selecciones, nos inscribimos y probamos otros tres servicios.

Nadie se acercó más a nuestra lista que IVPN, que ha sido nuestra mejor elección en años anteriores. En esta ronda, encontramos que IVPN es fácil de configurar y usar, y generalmente fue un poco más rápido y consistente que las otras VPNs que probamos. IVPN incluye a su equipo central en su sitio web, y el fundador y CEO Nick Pestell respondió a todas nuestras preguntas sobre la compañía. IVPN tiene guías de configuración detalladas y consejos para la resolución de problemas que son un poco más fáciles para los novatos que los que ofrece Mullvad. IVPN cuenta con un CTO y dos ingenieros adicionales que trabajan específicamente en seguridad de la infraestructura. También está trabajando en el código abierto de su VPN y parece estar comprometida con la transparencia.

Aunque IVPN ha publicado una auditoría de registro, carece de una auditoría de seguridad de terceros, y eso es lo único que le ha impedido entrar en nuestra lista esta vez. Cuando recomendamos el servicio por primera vez, ninguna empresa que considerábamos había publicado una auditoría exhaustiva, pero ahora la competencia se ha adelantado a IVPN en este aspecto. Pestell nos dijo que la compañía está organizando actualmente una auditoría de seguridad completa y una prueba de penetración para más adelante en 2020. Mientras tanto, no sugerimos cancelar ninguna suscripción a IVPN si ya la tiene. Pero volveremos a examinar el servicio una vez que los resultados de la auditoría de seguridad sean públicos.

VyprVPN ofrece algunos beneficios, como soporte rápido y la posibilidad de reportar errores desde dentro de la aplicación. La auditoría de seguridad de VyprVPN, realizada por Leviathan Security Group, comprobó si la plataforma registraba información de identificación personal de formas que no eran necesarias para las operaciones comerciales. Aunque el alcance de la auditoría fue mínimo, el informe incluía un diagrama de arquitectura, información sobre los componentes de la VPN y cómo interactúan, y otra información pertinente. Apreciamos esa auditoría de seguridad informativa, pero encontramos que VyprVPN es extremadamente poco fiable, y a menudo no se conecta en absoluto. Y VyprVPN todavía le permite conectarse usando el protocolo PPTP (aunque esa configuración está desactivada por defecto), una opción más antigua y menos segura que lo pone en riesgo. También publica una clave precompartida en su sitio web, lo que puede aumentar el potencial de los ataques del tipo “hombre en el medio”.

Recibimos múltiples preguntas de los lectores sobre ProtonVPN, y decidimos probarlo a pesar de que no tenía una auditoría de seguridad pública. La compañía declaró en un correo electrónico que había sido auditada, pero que la auditoría aún no era pública. Incluso se ofreció a compartir un informe en el marco de la NDA -nos negamos, ya que hubiéramos tenido que revelar el contenido de la auditoría para evaluar el servicio de forma transparente. Incluso dejando de lado la cuestión de la auditoría, tuvimos problemas con el servicio. Las opciones de diseño del sitio web de ProtonVPN nos facilitaron la selección accidental de una suscripción anual en lugar de pagos mensuales. El servicio no envía por correo electrónico los recibos, que sólo están disponibles en la página de la cuenta, y el soporte de ProtonVPN fue el más lento de todos los VPN que probamos. Además, la empresa cerró nuestra cuenta de prueba por fraude en respuesta a una disputa de PayPal, una acción que hizo imposible que obtuviéramos el recibo que normalmente se necesita para resolver dicha disputa. También tuvimos dificultades con la conectividad, ya que el servidor VPN a menudo no respondía.

Despedimos otros 48 servicios antes de las pruebas de rendimiento por una variedad de razones. A continuación enumeramos las principales razones de su despido.

Private Internet Access, o PIA, es una VPN altamente visible y centrada en la privacidad que tiene una reputación estelar por no poder proporcionar registros detallados a las fuerzas del orden, según los registros judiciales. Debido a esto y a su defensa de la privacidad y seguridad en línea, también ha sido una elección del personal de Wirecutter. Pero tuvimos que poner PIA en nuestra lista de VPNs que no han tenido una auditoría de seguridad pública de terceros.

Encrypt.me, anteriormente Cloak, nos ha destacado tanto por su copia de marketing especialmente honesta y transparente como por su condición de uno de los primeros proveedores de VPN (si no el primero) en tener una auditoría de seguridad de terceros, en marzo de 2016. Sin embargo, esa auditoría nunca se hizo pública. En marzo de 2017, el sitio web de Encrypt.me indicó que se había planeado otra auditoría, pero que nunca se llevó a cabo. La empresa, que J2 Global adquirió en junio, no tiene planes para otra auditoría, según los representantes.

Otras VPN que consideramos probar pero descartamos porque no tenían auditorías públicas incluyen AirVPN, Astrill, blackVPN, BTGuard, Buffered, CactusVPN, Cryptostorm, CyberGhost, Faceless.me, F-Secure Freedome, FrootVPN, Goose, Hide.me, InvinciBull, IPredator, IPVanish, OVPN, Perfect Privacy, PrivateVPN, PureVPN, StrongVPN, TorGuard, TorrentPrivacy, Trust.Zone, VPN.ac, VPNTunnel, Windscribe, Witopia, ZenMate y ZorroVPN.

Descartamos algunas VPNs por problemas de confianza. EarthVPN parece haber mentido sobre sus prácticas de registro, mientras que ProxySH confesó haber espiado el tráfico de clientes en 2013. HideMyAss ha entregado información de clientes a la policía. El Centro para la Democracia y la Tecnología presentó una queja de 14 páginas sobre Hotspot Shield ante la FTC, alegando prácticas comerciales desleales y engañosas. Ninguna de estas VPNs parece haber sido sometida a auditorías de seguridad por parte de terceros.

Descartamos tres VPNs-NordVPN, ExpressVPN, y Surfshark-por no ser públicos sobre su propiedad o liderazgo. “El investigador de seguridad Kenn White preguntó: “¿Pondría su dinero en un banco en el que no sabe qué leyes lo rigen, quién es su propietario o quién lo administra? “¿Irías a un asesor financiero usando una identidad falsa?” Desde nuestro despido original de NordVPN, la compañía también ha tenido una brecha de seguridad confirmada en un centro de datos de terceros que dio a los atacantes acceso a uno de los servidores de la compañía.

Algunas VPNs simplemente no tenían suficientes servidores. AzireVPN no estaba disponible en Windows y sólo tenía servidores en cinco ubicaciones. El servicio de Disconnect sólo estaba disponible en tres países.

El Mejor Servicio VPN del 2020