Qué prueba realmente una auditoría de VPN sin registros (y 4 cosas que no)
Qué prueba realmente una auditoría de VPN sin registros (y las 4 cosas que no)
Casi todas las VPN importantes lucen ahora la frase "sin registros auditada de forma independiente" como una medalla de honor. Las páginas de marketing reducen un informe de aseguramiento denso y cuidadosamente redactado a una simple marca de verificación verde, y la mayoría de los compradores interpretan esa marca como "este proveedor no guarda nada, jamás, y un tribunal lo ha confirmado." No es eso lo que dice una auditoría. Ni siquiera se le parece.
Una auditoría es un encargo de alcance acotado, limitado en el tiempo y, a menudo, de aseguramiento limitado, que el proveedor encarga y paga. Leída correctamente, es una evidencia genuinamente útil. Leída como una garantía, te induce a error. Esta guía descifra lo que una auditoría de no registros realmente prueba, las cuatro cosas que estructuralmente no puede probar, cómo leer el alcance y el estándar que la respaldan, y por qué decisiones de infraestructura verificables, como los servidores solo en RAM y una incautación real ya puesta a prueba, te dicen más que cualquier sello. Al final tendrás una lista de comprobación que podrás aplicar tú mismo a cualquier proveedor.
Qué significa realmente "sin registros" (y la distinción que la mayoría de las afirmaciones difuminan)
Antes de poder juzgar una auditoría, tienes que saber qué se está auditando. "Sin registros" no es una sola cosa. Existen al menos dos categorías de datos muy diferentes, y la frase de marketing "no registramos nada" casi siempre se refiere discretamente a solo una de ellas.
Registros de actividad (de uso): los sitios web que visitas, las consultas DNS, el contenido o los destinos de tu tráfico, los archivos descargados. Una VPN sin registros creíble no debería conservar nada de esto. Almacenarlo echaría por tierra todo el propósito del producto.
Registros de conexión (metadatos): las marcas de tiempo de cuándo te conectaste, la duración de la sesión, la cantidad de datos transferidos, la IP de origen desde la que te conectaste y qué servidor VPN usaste. Aquí es donde las afirmaciones divergen enormemente. Algunos proveedores conservan datos de conexión agregados o temporales para prevenir abusos, planificar la capacidad o hacer cumplir los límites de dispositivos simultáneos.
El peligro es la correlación. Incluso sin registros de actividad, una marca de tiempo de conexión precisa más tu dirección IP de origen pueden, en principio, vincularte a una acción observada en el extremo de destino en ese mismo instante. Así que cuando un proveedor dice "sin registros", la primera pregunta nunca es si un auditor lo comprobó, sino qué categoría cubrió la auditoría. Una auditoría limpia de registros de actividad que no dice nada sobre los metadatos de conexión ha respondido a la pregunta fácil y se ha saltado la difícil.
Los tipos de auditoría, y por qué no son intercambiables
"Auditada" agrupa varios ejercicios distintos en una sola palabra. Se solapan, pero prueban cosas diferentes, y un proveedor citará, como es natural, el que suene más contundente.
Aseveración de no registros / privacidad frente a auditoría de seguridad
Un encargo de aseveración de no registros examina las configuraciones de los servidores, los procesos de tratamiento de datos y las políticas internas para evaluar si la descripción que hace el proveedor de sus prácticas de registro está expuesta de forma fiel. Una auditoría de seguridad (test de penetración, revisión del código fuente, auditoría de la aplicación) busca vulnerabilidades en las aplicaciones, la infraestructura o la criptografía. No son sustitutos entre sí. Una VPN puede tener una configuración de no registros impecable y, a la vez, un fallo crítico que filtre tu IP, o aplicaciones reforzadas y un backend que conserva metadatos en silencio. Quieres ambas cosas, y no deberías dejar que una sustituya a la otra.
Punto en el tiempo frente a continua
La gran mayoría de las auditorías de no registros son de punto en el tiempo (a veces llamadas de tipo 1): el auditor inspecciona los sistemas tal como existen en un día determinado o en una ventana breve. Un encargo continuo (tipo 2) comprueba si los controles funcionaron de forma efectiva a lo largo de un período definido, digamos seis o doce meses. El punto en el tiempo te dice que la alacena estaba vacía la tarde en que el inspector la visitó. No te dice nada sobre los días anteriores o posteriores.
Aseguramiento razonable frente a aseguramiento limitado
Esta es la línea más pasada por alto de todo informe de auditoría. Bajo los estándares de aseguramiento que usan la mayoría de las auditorías de VPN, el auditor expresa uno de dos niveles de confianza. El aseguramiento razonable es el listón más alto: pruebas exhaustivas que respaldan una opinión positiva ("en nuestra opinión, los controles están expuestos de forma fiel"). El aseguramiento limitado es más débil: el auditor realiza menos procedimientos y emite una conclusión en forma negativa ("nada llamó nuestra atención que sugiera que las afirmaciones contengan errores materiales"). Muchas de las auditorías de no registros más publicitadas son encargos de aseguramiento limitado. "Nada llamó nuestra atención" es una afirmación notablemente más suave que "verificamos esto", y hace mucho trabajo discreto por detrás del sello.
Una auditoría no es un test de penetración de la honestidad de tu proveedor. Es una opinión estructurada sobre una descripción concreta, en una fecha concreta, dentro de un alcance que el proveedor ayudó a definir.
Las cuatro cosas que una auditoría de no registros NO prueba
Incluso una auditoría excelente realizada por una firma de primer nivel tiene límites estructurales rígidos. No son fallos del auditor; son inherentes a lo que es una auditoría. Contrasta cada afirmación de "sin registros auditada" con estas cuatro.
Alcance limitado. La auditoría cubre solo lo que dice la carta de encargo, y el proveedor participa en definirlo. Una auditoría de las aplicaciones de escritorio no dice nada sobre las aplicaciones móviles o el parque de servidores. Una auditoría de "sin registros de actividad" puede guardar silencio sobre los metadatos de conexión, los datos de facturación, la conservación de tickets de soporte o la analítica de terceros dentro de la aplicación. El alcance es la frontera de la prueba, y a menudo es más estrecho que el marketing.
Una instantánea acotada en el tiempo. Un informe de punto en el tiempo describe un solo momento. Las configuraciones se desvían, se aprovisionan servidores nuevos, se cambian scripts, un ingeniero presa del pánico activa el registro de depuración durante un incidente. A menos que la auditoría sea continua y reciente, es una fotografía, no una transmisión en directo.
Lo que al auditor no se le permitió ver. Los auditores examinan lo que el cliente pone a su disposición. No son policías ejecutando una orden judicial; no pueden obligar a revelar un servidor de registro oculto, una tubería secreta de retención de datos o un sistema paralelo mantenido fuera del inventario que se les entregó. Un actor malicioso decidido puede acotar una auditoría justo en torno a aquello que debería haber detectado.
Cambios posteriores a la auditoría. El informe queda congelado el día en que se firma. La propiedad puede cambiar, la empresa puede ser adquirida, la jurisdicción puede modificarse, una nueva ley puede imponer la retención, o el proveedor puede sencillamente alterar su infraestructura la semana siguiente a la publicación. El sello de la página de inicio puede tener años y describir una empresa que ya no existe de la misma forma.
Cómo leer de verdad un informe de auditoría
Si un proveedor enlaza al informe completo (y si no lo hace, trata la afirmación como marketing, no como evidencia), dedica diez minutos a estas cinco cosas antes de confiar en el sello.
Quién definió el alcance y quién pagó. Las auditorías las encarga y las paga el proveedor; eso es normal y no descalifica, pero condiciona el alcance. Busca límites explícitos: qué aplicaciones, qué servidores, qué categorías de datos, qué período de tiempo.
La fecha. Una decisión de 2026 no debería apoyarse en un informe de 2021. La actualidad y la repetición importan más que una única auditoría histórica. Un proveedor que se reaudita cada año hace una afirmación más sólida que uno que vive de un sello puntual.
Independencia y reputación del auditor. Entre los nombres reconocidos en este ámbito están las firmas Big Four (Deloitte, PwC, KPMG, EY) para los encargos de aseguramiento y firmas de seguridad especializadas como Cure53 para el trabajo de código e infraestructura. Un auditor oscuro o no revelado es una señal de alarma.
El estándar utilizado. Los informes de aseguramiento de no registros de buena reputación suelen realizarse bajo la ISAE 3000 (Norma Internacional sobre Encargos de Aseguramiento 3000), emitida por el IAASB, que rige los encargos de aseguramiento distintos de las auditorías de información financiera histórica. Ver un estándar nombrado te indica que el encargo tuvo una metodología definida. Fíjate en si fue de aseguramiento razonable o limitado.
El propio lenguaje de aseguramiento. Localiza el párrafo de opinión. Distingue "en nuestra opinión, la descripción está presentada de forma fiel" (positiva, aseguramiento razonable) de "nada llamó nuestra atención" (negativa, aseguramiento limitado). Ambas tienen valor; no son el mismo valor.
Servidores solo en RAM: qué garantiza genuinamente la infraestructura sin disco
Las auditorías evalúan procesos. Los servidores solo en RAM (sin disco) cambian la física de fondo, y por eso importan con independencia de cualquier sello. La idea: ejecutar todo el servidor VPN, sistema operativo incluido, desde la memoria RAM volátil, sin disco duro ni SSD conectado. El software se carga mediante un proceso de arranque seguro desde una imagen central de solo lectura. Varios proveedores importantes ejecutan variantes de esto, comercializadas con nombres como TrustedServer de ExpressVPN y el parque sin disco en coubicación de NordVPN.
Lo que la RAM exclusiva te aporta genuinamente:
Nada persiste tras un reinicio o un corte de energía. La memoria volátil se borra cuando se corta la corriente. Si un servidor es incautado físicamente y desenchufado, cualquier dato que existiera solo en la RAM desaparece: no borrado pero recuperable, sino físicamente ausente.
Un estado coherente y definido de forma central. Cada servidor recarga la misma imagen verificada al arrancar, lo que reduce la deriva de configuración y el riesgo de que un único servidor díscolo ejecute en silencio una build distinta que sí registra.
Una superficie forense menor. No hay disco que clonar, ni archivo de intercambio, ni directorio de registros que peinar a posteriori.
Lo que la RAM exclusiva no hace, y aquí es donde el marketing se excede:
No impide el registro mientras el servidor está en funcionamiento. La RAM contiene datos en vivo; si el software en ejecución está configurado para capturar y reenviar metadatos, puede hacerlo en tiempo real, antes de cualquier reinicio. La ausencia de disco va sobre la persistencia, no sobre lo que ocurre en el momento.
No protege contra un servidor incautado mientras está encendido. Una máquina que se llevan sin perder la alimentación conserva el contenido de su RAM hasta que se apaga, y la memoria en vivo puede capturarse.
No prueba, por sí sola, que la imagen central esté limpia. Ahora confías en la imagen de build y en la cadena de arranque en lugar de en el disco. Esa confianza todavía hay que ganarla, idealmente mediante una auditoría.
La RAM exclusiva y la auditoría son complementos. La arquitectura limita lo que puede conservarse; la auditoría comprueba lo que está configurado. Ninguna por sí sola cuenta toda la historia.
La única prueba real: cuando las afirmaciones de no registros se topan con una orden judicial
La evidencia más persuasiva no es una auditoría en absoluto. Es lo que pasa cuando las fuerzas del orden se presentan de verdad. Unos pocos casos han puesto a prueba las afirmaciones de no registros en el mundo real.
La redada a Mullvad de 2023. El 18 de abril de 2023, agentes del Departamento de Operaciones Nacionales de la policía sueca se presentaron en la oficina de Mullvad en Gotemburgo con una orden judicial, con la intención de incautar ordenadores en relación con una investigación. Según el relato publicado por Mullvad, su personal y sus asesores legales explicaron que la empresa no almacena datos de clientes y que, bajo la ley sueca, no había nada relevante que incautar. La policía se marchó sin llevarse ningún equipo. Esta es la demostración pública más nítida del principio: si los datos genuinamente no existen, una orden judicial no obtiene nada. Fueron la arquitectura y la política, no el sello, los que produjeron ese resultado.
Servidores incautados en el extranjero. En 2017, investigadores turcos que indagaban el asesinato del embajador ruso Andréi Karlov incautaron un servidor usado por ExpressVPN. Según las informaciones de la época, las autoridades no pudieron recuperar registros de conexión ni de actividad porque no se almacenaba ninguno. Por separado, Private Internet Access declaró en escritos judiciales en Estados Unidos que no podía aportar registros de uso en respuesta a requerimientos legales porque no los conservaba. Estos episodios no son auditorías, pero son confirmaciones en el mundo real de que, para esos proveedores en ese momento, la alacena estaba realmente vacía bajo presión.
La lección es coherente: la garantía de privacidad más fuerte son los datos que nunca se crearon. Una auditoría predice ese resultado; una incautación lo prueba.
La jurisdicción y el contexto de los 5/9/14 Ojos
El lugar donde un proveedor tiene su sede legal condiciona lo que se le puede obligar a hacer y a conservar. La alianza de inteligencia de los Cinco Ojos (Estados Unidos, Reino Unido, Canadá, Australia y Nueva Zelanda) comparte inteligencia de señales; los Nueve Ojos añaden Dinamarca, Francia, los Países Bajos y Noruega; los Catorce Ojos suman además Alemania, Bélgica, Italia, España y Suecia. La pertenencia no significa que un país obligue a las VPN a registrar, y algunos proveedores excelentes operan desde dentro de estas alianzas. Pero la jurisdicción determina las herramientas legales disponibles, incluidos los mandatos de retención de datos y los poderes para imponer órdenes de mordaza.
Dos advertencias. Primera, la popular regla de "evita todos los 14 Ojos" es más burda que la realidad; Suiza y Panamá se citan a menudo como sedes favorables a la privacidad, pero las prácticas de datos reales de un proveedor importan mucho más que su bandera. Segunda, una supuesta sede en un "paraíso de la privacidad" significa poco si los servidores, el personal o el procesador de pagos están en otro lugar. Es precisamente por esto que la infraestructura verificada gana al texto de marketing: la jurisdicción fija el techo legal, pero solo la realidad técnica, auditada e idealmente puesta a prueba, te dice qué datos quedan realmente expuestos.
Una lista de comprobación neutral que puedes aplicar a cualquier proveedor
Úsala para evaluar por tu cuenta la afirmación de no registros de cualquier VPN, al margen de los sellos que luzca en su página de inicio.
¿El informe completo es público, o solo hay un logo? Si no hay un informe enlazable, trata la afirmación como marketing.
¿Cómo de reciente, y con qué frecuencia? Favorece a los proveedores que se reauditan con una cadencia regular frente a los que citan un único encargo antiguo.
¿Punto en el tiempo o continua? Un encargo de tipo 2 de varios meses es materialmente más sólido que una instantánea de un solo día.
¿Aseguramiento razonable o limitado? Lee el párrafo de opinión y el estándar nombrado (busca la ISAE 3000).
¿El alcance cubre los metadatos, no solo los registros de actividad? ¿Y cubre el parque de servidores, no únicamente las aplicaciones?
¿Quién es el auditor? Una firma de aseguramiento o de seguridad reconocida, nombrada de forma explícita, no anonimizada.
¿La infraestructura es solo en RAM o sin disco? Un límite genuino a lo que puede persistir tras una incautación o un reinicio.
¿Se ha puesto a prueba alguna vez la afirmación en el mundo real? Los casos públicos de incautación, citación judicial u orden judicial son el patrón oro de la prueba.
¿Cuál es la jurisdicción y dónde están realmente los servidores? Contrástalo con las prácticas de datos reales del proveedor, no solo con la bandera.
La conclusión práctica
Una auditoría de no registros independiente es una señal real y valiosa, pero es evidencia, no un veredicto. Prueba que un alcance definido de sistemas, en una fecha definida, coincidió con una descripción declarada, a un nivel de aseguramiento declarado. No puede probar que no se le ocultó nada al auditor, que la configuración se mantuvo la semana siguiente, o que la empresa en la que confías hoy es la misma mañana.
Así que da más peso a lo que sobrevive al escrutinio: una auditoría reciente, repetida y de aseguramiento razonable, bajo un estándar nombrado y con un informe publicado; una infraestructura solo en RAM que limita lo que puede persistir; una política de registro clara que incluya los metadatos; una jurisdicción sensata; y, mejor que nada, un caso documentado en el que una orden judicial o una incautación se quedaron con las manos vacías. Trata la marca de verificación verde como el comienzo de tu diligencia debida, no como el final.
Preguntas frecuentes
¿Qué significa una auditoría de VPN sin registros en términos sencillos?
Significa que una firma independiente revisó un conjunto definido de los sistemas y las prácticas de tratamiento de datos del proveedor en una fecha concreta y emitió una opinión sobre si las afirmaciones de registro del proveedor están expuestas de forma fiel. Es una evaluación de alcance acotado y limitada en el tiempo, no una garantía permanente de que el proveedor jamás pueda registrar nada. El valor depende mucho del alcance, la fecha y el nivel de aseguramiento.
¿Son fiables las auditorías de VPN sin registros?
Son útiles pero limitadas. Las auditorías las encarga y las paga el proveedor, cubren solo un alcance acordado y normalmente captan un único punto en el tiempo. Una auditoría creíble es reciente, la realiza una firma reconocida bajo un estándar nombrado como la ISAE 3000 y se publica íntegra. Trata con escepticismo un sello sin publicar o de hace años, y recuerda que un auditor no puede encontrar un sistema de registro que el proveedor le mantiene oculto.
¿Qué son los servidores VPN solo en RAM, explicado de forma sencilla?
Los servidores solo en RAM (o sin disco) ejecutan todo el sistema operativo y el software VPN desde la memoria volátil, sin disco duro conectado. Como la RAM se borra al perder la alimentación, ningún dato persiste tras un reinicio o una incautación física de una máquina desenchufada. Sin embargo, no impiden que un servidor en funcionamiento maneje datos en tiempo real, así que limitan la persistencia de los datos en lugar de eliminar todo riesgo de registro.
¿Cuál es la diferencia entre registros de conexión y registros de actividad?
Los registros de actividad anotan lo que haces en línea: sitios visitados, consultas DNS y el contenido o los destinos del tráfico. Los registros de conexión son metadatos: marcas de tiempo, duración de la sesión, ancho de banda usado y tu IP de origen. La mayoría de las afirmaciones de "no registramos nada" se refieren a los registros de actividad mientras se mantienen vagas sobre los metadatos de conexión, que son los datos que realmente podrían correlacionar a un usuario con una acción.
¿Qué es una auditoría independiente de VPN, explicada frente a un test de penetración?
Una auditoría independiente de no registros evalúa si las prácticas de tratamiento de datos descritas por un proveedor están expuestas de forma fiel, a menudo a un nivel de "aseguramiento limitado". Un test de penetración sondea activamente las aplicaciones y la infraestructura en busca de vulnerabilidades explotables. Responden a preguntas distintas, así que uno no puede sustituir al otro. Un proveedor sólido encarga ambos, a firmas nombradas y de buena reputación, y publica los informes.
¿Se ha puesto a prueba alguna vez la afirmación de no registros de alguna VPN por parte de la policía?
Sí. En abril de 2023, la policía sueca se presentó en la oficina de Mullvad en Gotemburgo con una orden de registro y se marchó sin incautar ningún equipo tras comprobar que la empresa no almacena datos de clientes. Antes, las autoridades turcas que incautaron un servidor de ExpressVPN en 2017 al parecer no recuperaron ningún registro, y Private Internet Access declaró ante un tribunal de Estados Unidos que no tenía registros de uso que entregar. Estas pruebas del mundo real son una evidencia más fuerte que cualquier sello de auditoría.
¿Importa más la jurisdicción de una VPN que su auditoría?
Miden cosas diferentes. La jurisdicción (como la pertenencia a los Cinco, Nueve o Catorce Ojos) fija las herramientas legales que un gobierno puede usar, incluidos los poderes de retención de datos y de órdenes de mordaza. Pero la auditoría y la infraestructura real te dicen qué datos existen para poder ser exigidos. Una sede favorable a la privacidad significa poco si los servidores o el personal están en otro lugar, así que las prácticas técnicas verificadas deberían pesar más que la bandera de la página de inicio.
