Una red privada virtual, o una VPN, permite navegar de forma anónima por Internet. La conexión a una de ellas permite que se oculte el origen del tráfico –el que nosotros generamos- y que las direcciones IP que detecte el servidor de origen sean las propias de la red privada virtual. Pero no, no todas las VPN trabajan exactamente de la misma manera. La mayoría ofrecen algún tipo de tecnología de cifrado, pero hay otras características relativas a la privacidad y seguridad que hay que revisar para saber cuáles son las mejores VPN gratis.
¿Cómo se sabe cuál es la mejor VPN, o en base a qué criterios?
Los datos son de TorrentFreak y, como explican, se tienen en cuenta varios aspectos. El primero de ellos, si la VPN mantiene algún tipo de registro que permita relacionar una dirección IP con una marca, de cualquier tipo, que identifique a sus usuarios. Y respecto a esto mismo, cuestionan cuál es la información exacta que se registra y durante cuánto tiempo. Además, en un segundo punto cuestionan el nombre de la empresa y la jurisdicción bajo la que opera; y también revisan cuáles son las herramientas que se utilizan para la monitorización y mitigación de abusos sobre el servicio de la VPN.
Hay otros criterios que se tienen en cuenta como la utilización de proveedores externos como las Google Apps, Live Support, Zendes –y otros- que puedan contener información proporcionada por los usuarios; o cuál sería la decisión de la VPN en caso de que se reciba una solicitud DMCA de fuera de los Estados Unidos. Todo esto tiene que ver con la seguridad y privacidad, igual que la pregunta en que contemplan los pasos que se llevarían a cabo si un tribunal ordenase la identificación de un usuario o el registro de su actividad.
En este exhaustivo análisis de las mejores VPN de 2019, también se ha preguntado si se permite BitTorrent, y otras formas de tráfico de intercambio de archivos en sus servidores. En caso contrario consultan el por qué, y se extienden preguntando si está disponible un servicio de reenvío de puertos, o si se bloquean determinados puertos. También, a estos proveedores de servicios de redes privadas virtuales se les ha preguntado cuáles son los sistemas de pago que se usan, y si se toman medidas para que la información de pago no pueda vincularse a los usuarios para su identificación. Se ha consultado sobre el algoritmo de cifrado también, y sobre algunas otras cuestiones técnicas. Ahora, vamos a ver cuáles son las mejores VPN de 2019 para navegard de forma privada.
Private Internet Access
Private Internet Access no almacena ningún registro de tráfico, sesiones, DNS o metadatos para ninguna persona o entidad. No hay información que coincida con una marca de tiempo o para una dirección IP y la empresa está registrada en Indiana como London Trust Media Incorporated. Para la mitigación de abusos cuentan con un sistema activo y propietario, y sí se hace uso de las Google Apps (en Suite) y de Google Analytics, pero con el seguimiento de datos demográficos deshabilitado, y anonimizando las direcciones IP de sus usuarios. En tanto que su máxima es la privacidad, no hay registros y no se supervisa a los usuarios de ninguna forma.
Nunca han recibido una orden judicial, pero cada citación se examina para poder cumplir con la Ley ajustándose a sus principios. Y en cuanto a BitTorrent, no solo se permite el tráfico de intercambio sino que se trata de igual forma al resto de tráfico. No se censura el tráfico, y únicamente se enruta en una segunda VPN en algunos casos. Para el pago, en esta compañía usan PayPal, Stripe, Amazon, Google, Bitcoin y otras opciones, sin vinculación alguna a los usuarios. Además, se usa cifrado AES-256 + RSA4096 + SHA256
NordVPN
Igual que la anterior, NordVPN no mantiene registro ni marcas de tiempo que hagan posible la identificación de clientes y usuarios, y opera bajo la jurisdicción de Panamá como Tefincom SA. Para la monitorización y mitigación de abusos del servicio, únicamente cuentan con una herramienta automatizada que limita a seis el n´mero máximo de conexiones simultáneas; y por supuesto, se analiza la carga del servidor para optimizar el servicio y dar la mayor velocidad de Internet posible. Se hace uso de procesadores de datos de terceros como Crashlytics, Firebase Analytics y Appsflyer, además de Google Analytics o Zendesk. Pero se mantiene con ellos un contrato de confidencialidad para que nunca se usen datos de los clientes para fines propios, ni se divulgue información a terceros.
Las solicitudes DMCA no les afectan porque operan en Panamá, y únicamente tendrían que atender a órdenes judiciales de tribunales de Panamá. No obstante, no tienen información alguna sobre sus usuarios más allá de su correo electrónico e información básica de pago. Se usan Alipay, Yandex, cryptos y otras formas de pago y no se pueden relacionar con la información de cliente. Por otro lado, aseguran que el tráfico BitTorrent y parecido no se limita y que su VPN está optimizada para ello. No hay reenvío de puertos y se bloquean SMTP25 y NetBIOS. Para el cifrado, se usa AES 256 GCM como algoritmo.
ExpressVPN
ExpressVPN tampoco lleva a cabo registro alguno de conexiones o actividad; ni siquiera se puede determinar si un usuario se ha conectado a la VPN en un momento concreto, qué dirección IP usó o qué actividades ha llevado a cabo. La empresa es Express VPN International Ltd. y opera en las Islas Vírgenes Británicas. Según explican desde la compañía, no se supervisa ni registra actividad ninguna de los usuarios, y se reserva el derecho al bloqueo de tráfico abusivo específico por la protección del resto de clientes y de la red del servidor. De terceros, el software que se utiliza es Zendesk y SnapEngage; y ambas han sido analizadas para tener garantías de seguridad, aunque también se usa Google Analytics.
En tanto que no hay datos que identifiquen a los usuarios o su identidad, da igual que reciban notificaciones de DMCA. Por otro lado, a nivel legal únicamente tienen obligación de respetar las órdenes judiciales del gobierno de las Islas Vírgenes Británicas, o en conjunto con sus autoridades a través del correspondiente tratado de asistencia legal mutua. Lo habitual es que se responda al investigador informando de que no hay datos sobre usuarios y actividad. Por otro lado, se permite todo el tráfico incluyendo BitTorrent y como forma de pago se aceptan opciones locales, Bitcoin, PayPal y otros, nunca permitiendo la vinculación con información de identificación. Para el cifrado se usa AES-256-CBC.
TorGuard
TorGuard no guarda registro alguno tampoco, y se usan IPs compartidas para mantener la máxima privacidad. Aseguran que es imposible hacer coincidir dirección IP alguna o nombre de usuario con datos de identificación. Opera bajo la jurisdicción de los Estados Unidos como VPNetworks LLC y su servicio usa software personalizado para la monitorización de los servidores y el rendimiento de la red, y se usan reglas propias para la detección y el bloqueo de abusos en tiempo real, limitando además las conexiones máximas simultáneas. Se hace uso de Google Analytics, con datos anónimos, y de Livechantinc y Sendgrid como software de terceros.
En cuanto a avisos DMCA, se procesan de inmediato, pero no se puede reenviar solicitud alguna por la falta de registro de información de los usuarios. En caso de recibir una orden judicial, si fuera válida se tendría que explica con detalle la configuración de la red con direcciones IP compartidas y el hecho de que no existen registros de identificación de ningún tipo. No se bloquea el tráfico BitTorrent, ni el P2P de ningún tipo, y se proporciona reenvío de puertos vía OpenVPN. Para el pago hay más de 200 opciones diferentes y es imposible la vinculación con datos de identificación; además, se usa cifrado AES-256-GCM, con 4096bit RSA y SHA512 HMAC.
iPredator
Igual que los servicios anteriores, la VPN de iPredator no lleva a cabo registros de dirección IP tampoco, y la información temporal sobre la sesión se elimina de la base de datos tan pronto como se termina la sesión. La compañía opera en Chile como PrivActually Ltd., y los abusos o intentos de abusos son mitigados de forma directa por sus operadores. No se monitoriza el tráfico de los usuarios de ninguna forma y las sesiones TCP/IP no se limitan de forma individual sino por servidor, a 10 millones establecidas como máximo. Tampoco existe seguimiento sobre usuarios, y no se utilizan productos de terceros como Gmail, ni sistema de tickets.
Las solicitudes legales se examinan de acuerdo a los marcos legales y se reacciona en consecuencia. Antes de cambiar su política para analizar datos de los usuarios por motivos legales, aseguran, cerrarían su servicio. Añaden que el tráfico de intercambio de archivos, incluyendo BitTorrent, está permitido, y que el reenvío de puertos no es necesario. Para los pagos se usan PayPal, Bitcoin y Payson, entre otros bajo solicitud expresa, y se usa una ID interna para la vinculación de datos. Para el cifrado, iPredator usa AES256.
ProtonVPN
En este caso, se monitoriza únicamente la marca de tiempo relativa al último intento de inicio de sesión exitoso, pero se sobrescribe con los posteriores y esto no contiene información alguna de identificación del usuario. No se recopila la dirección IP, la compañía opera en Suiza y está registrada como Proton Technologies AG. Según explican, se usan herramientas internas y sistemas propios para garantizar la máxima calidad del servicio y mitigar intentos de abusos contra el mismo. Únicamente se usan datos anónimos de Google Analytics, y se está migrando a una instalación local de Manomo, junto a Zendesk para el servicio de atención al cliente.
En el caso de solicitudes DMCA o equivalentes no estadounidenses, nunca se podría conectar la demanda a un usuario específico. Únicamente se pueden divulgar los limitados datos que se poseen sobre los usuarios. Pero por su política de ‘no registro’, no hay información alguna sobre la actividad de los mismos. Se permite el tráfico P2P sin limitaciones en todos los planes, pero por las leyes de los países en que se alojen los servidores, es posible que en algunos casos se canalice el tráfico a través de países compatibles con P2P. Para el pago se usa tarjeta de crédito y PayPal, y en ningún caso se guardan datos completos, además de que se podrían usar pagos anónimos y en Bitcoin. Y para el cifrado se usa AES-256.
HideIPVPN
HideIPVPN almacena registros de direcciones IP, y no existe forma de vincular una IP –de la VPN- con la actividad de sus usuarios. La compañía es Server Management LLC y opera bajo la jurisdicción de los Estados Unidos. Explican que una suscripción se puede usar de forma simultánea para tres conexiones, y que el tráfico IP se bloquea en exclusiva donde no está permitido, además de que se bloquea el puerto 25 para el correo saliente para evitar el spam. Los servicios de terceros vinculados son las Google Apps para el correo entrante y tak.to para el chat en vivo.
En tanto que no almacenan registros en sus servidores, las solicitudes DMCA no pueden ser atendidas. En caso de orden judicial, se podría divulgar información sobre un cliente. Ahora bien, como no existe registro y se usan direcciones IP compartidas, únicamente se podrían prestar datos de facturación, algo que aseguran que nunca ha llegado a ocurrir. El tráfico P2P está permitido sin limitaciones salvo en los servidores de EEUU, Reino Unido, Canadá, Polonia, Singapur, Australia y Francia; para la facturación se usan PayPal, Bitcoin, tarjetas de crédito y débito –y otros- y los datos se almacenan en el sistema de facturación propio.
Hide.me
Hide.me no guarda registro alguno; tiene su sede en Malasia y está registrada como Eventure Limited. No se llevan a cabo controles de ningún tipo sobre conexiones individuales y, para mitigar intentos de abuso, se usan reglas generales de firewall en servidores concretos con rangos de IP específicos. Se utiliza Google Analytics, entre otros, pero en ningún caso se comparte con proveedores información personal de ningún tipo sobre sus usuarios.
En cuanto a las solicitudes relativas a derechos de autor, no se puede responder a órdenes judiciales porque la infraestructura no almacena registro de ningún tipo sobre sus usuarios. Añaden además que no existe forma efectiva de bloquear el tráfico de intercambio de archivos de sus usuarios, luego pueden usar P2P sin limitaciones, y explican que aceptan las principales cryptos como forma de pago, además de transferencia bancaria y tarjeta de crédito, con una identificación de pago temporal que no puede ser vinculada a los usuarios. Para el cifrado se usa AES-256.
IVPN
IVPN no almacena registros de direcciones IP y es operada por Privatus Limited en Gibraltar. Se limitan las conexiones simultáneas gracias a un contador temporal en uno de los servidores centrales, que es eliminado cuando el usuario se desconecta de la red privada virtual. Al contrario que algunas de las anteriores, esta VPN únicamente ejecuta servicios de forma interna en sus propios servidores, configurados y administrados directamente y sin prestar acceso a terceros a sus servidores o sus datos.
En lo relativo a solicitudes por derechos de autor, no se pueden atender de forma satisfactoria porque no se almacenan datos en sus servidores y solo actúan como ‘conducto’ del tráfico de sus usuarios. Si en el futuro tuvieran que analizar la actividad de sus usuarios, harían todo lo posible para alertarles al respecto de forma directa o indirecta. El tráfico P2P está permitido sin limitaciones y la redirección de puertos está habilitada. Además, aceptan Bitcoin, efectivo, PayPal y tarjeta de crédito como formas de pago sin permitir la vinculación de datos. Y su cifrado es AES-256-GCM.
AzireVPN
AzireVPN no guarda registro alguno, ni almacena datos de tráfico, actividad, direcciones IP, sesiones activas y totales, peticiones DNS, etcétera. Todos los registros están deshabilitados para esta VPN operada por Netbouncer AB que opera bajo la jurisdicción de Suecia. Según explican, se usan todas las medidas de seguridad posibles para garantizar la estabilidad de sus servidores. Otro punto interesante es que se rechaza el uso de sistemas de terceros como, por ejemplo, Google Analytics.
En su caso, las solicitudes por derechos de autor se responden señalando que no hay registro alguno que permita identificar a los usuarios. En el caso de una orden judicial se respondería de la misma manera. El tráfico P2P está permitido y como formas de pago están disponibles las principales criptomonedas, así como el pago en efectivo por correo postal, también PayPal y tarjetas de crédito. Y no se almacena información de pago confidencial.
Otras VPN recomendables, las mejores de 2019 para navegar de forma privada por Internet
Además de los anteriores, que forman parte de la lista de los mejores VPN de 2019 si queremos navegar de forma anónima y segura, hay otros tantos servicios recomendables. Hemos despreciado todas las opciones en que sus propios administradores aceptan llevar a cabo algún tipo de registro. En todos los anteriores no se almacenan registros de direcciones IP, de actividad y otros, y en los que mencionaremos a continuación tampoco se llevan a cabo este tipo de prácticas. Por eso, todos estos servicios VPN 2019son los más recomendables que podemos encontrar, sean de pago o gratuitos con limitaciones.
Windscribe, VPNArea, VPNBaron, SurfShark o NVPN también entran dentro de este extenso listado con los mejores VPN de 2019. Pero siguen sin estar solos, porque por su falta de registro de datos de identificación habría que contar también con AirVPN, CactusVPN, Trust.Zone, SwitchVPN, VYPRVPN, Proxy.sh, PrivateVPN, FastPVPN, CryptoStorm, WhatTheServer, IBVPN, Moles, AceVPN, Perfect Privacy, VPN Land, CanVPN, SlickVPN, HeadVPN, VPNHUB, SigaVPN y CyberGhost.
Todos estos últimos atendiendo en exclusiva al registro de IPs, solicitudes DNS, actividad y otros datos de identificación. No obstante, cada cual trata de una forma particular el tráfico de intercambio de archivos, por ejemplo, los datos de facturación o las solicitudes relativas a infracciones de derechos de autor. Además, también es importante la jurisdicción. Todos estos detalles, aunque parecen ajenos al propio servicio VPN, son cruciales si nos importa mantener la máxima seguridad y privacidad al utilizar una red privada virtual.