Políticas de no guardar registros de VPN: ¿qué proveedores han sido realmente auditados? Ve qué servicios VPN se sometieron a revisiones de terceros, qué abarcaron esas auditorías y dónde sigue habiendo límites en la confianza.
A altas horas de la noche, un anuncio de una VPN puede hacer que la privacidad suene sencilla. Instala la app, pulsa conectar y confía en la promesa de una política de no guardar registros. El problema es que esta afirmación es fácil de vender y mucho más difícil de verificar. Por eso la verdadera pregunta ya no es qué VPN dice que no guarda registros, sino qué proveedores han abierto sus sistemas, controles y configuraciones de servidores al escrutinio externo.
Eso importa ahora porque los usuarios preocupados por la privacidad son cada vez más escépticos, el uso en móvil no deja de crecer y varias grandes marcas de VPN han recurrido a auditorías de terceros como prueba. Para cualquiera que compare servicios en 2026, una afirmación auditada no lo es todo, pero sí es una de las pocas señales que puede cotejarse con empresas concretas, informes fechados y declaraciones públicas.
Las políticas de no guardar registros de las VPN solo son tan sólidas como las pruebas que las respaldan
La promesa de no guardar registros suena absoluta, pero en la práctica puede referirse a distintos niveles de tratamiento de datos. Algunos proveedores quieren decir que no conservan la actividad de navegación ni las direcciones IP de origen. Otros siguen reteniendo datos operativos de corta duración, diagnósticos de fallos o registros a nivel de cuenta necesarios para la facturación y la prevención del abuso.
Esa diferencia es la razón por la que las auditorías independientes importan. Una revisión adecuada suele examinar la configuración de los servidores, los controles de acceso, los sistemas de identidad y si la política escrita de un proveedor coincide con la realidad operativa. En función de la orientación de diseño declarada y de los ámbitos de auditoría habituales, una auditoría debe considerarse mejor como una comprobación puntual, no como una garantía de por vida.
Los lectores que usan sobre todo una VPN en el móvil se enfrentan a un reto adicional, porque la experiencia de la app puede parecer fiable incluso cuando el lenguaje de la política es impreciso. DualMedia analizó recientemente las aplicaciones VPN móviles y la cuestión más amplia de lo que los usuarios obtienen realmente de las herramientas de privacidad cuando están en movimiento.
Qué proveedores tienen registros públicos de auditorías de no guardar registros
Entre los nombres que más a menudo se citan por revisiones públicas o ampliamente reseñadas de terceros están NordVPN, ExpressVPN, Proton VPN, Mullvad, y Oso de túnel. La cobertura pública de medios centrados en la privacidad y las páginas de transparencia de los proveedores han señalado repetidamente a estas marcas porque hicieron algo más que publicar texto de marketing. Hicieron referencia a firmas auditoras concretas, fechas de informes o programas de evaluación recurrentes.
NordVPN ha estado vinculado con el tiempo a múltiples evaluaciones independientes de no guardar registros, incluido el trabajo de PwC y más tarde de Deloitte, según el material público de la empresa y la amplia cobertura del sector durante 2024 y 2025. ExpressVPN también ha recurrido a revisiones externas repetidas y a su configuración TrustedServer, un diseño pensado para reducir el almacenamiento persistente de datos en los servidores VPN.
Proton VPN ha destacado la verificación de terceros en ciclos más recientes, mientras que Mullvad ha construido durante mucho tiempo su reputación sobre la recopilación mínima de datos y las revisiones de seguridad públicas. TunnelBear, propiedad de McAfee, se hizo conocida antes por publicar auditorías de seguridad periódicas, aunque una auditoría de seguridad no siempre es lo mismo que una auditoría estricta de no guardar registros.
Para una comparación rápida, esta es la parte que más interesa a muchos compradores.
| Proveedor | Qué da peso a la afirmación |
|---|---|
| NordVPN | Auditorías sin registros de terceros repetidas a lo largo de varios años, incluidas firmas reconocidas como PwC y Deloitte |
| ExpressVPN | Evaluaciones externas reiteradas y una arquitectura de servidores diseñada para reducir los datos conservados |
| Proton VPN | Revisiones independientes y una postura pública en materia de privacidad vinculada al ecosistema más amplio de Proton |
| Mullvad | Modelo de datos de cuenta mínimo, revisiones de seguridad externas y una reputación construida sobre operaciones centradas en la privacidad |
| Oso de túnel | Conocido por publicar auditorías de seguridad, aunque los compradores deberían comprobar si cada informe prueba directamente las afirmaciones de no registros |
La distinción clave es sencilla. No todas las auditorías evalúan lo mismo, y no todos los proveedores publican el mismo nivel de detalle.
Qué comprueba realmente una auditoría de una VPN y qué puede pasar por alto
Una auditoría puede examinar si los sistemas de autenticación registran logs identificables, si el acceso de administración está estrictamente controlado y si los servidores de producción están configurados conforme a la política de privacidad. También puede revisar la gestión de cambios, el tratamiento de incidentes y la separación entre los sistemas de pago y la actividad de la red.
Lo que puede pasar por alto es igual de importante. Un proveedor puede superar una auditoría y aun así cambiar la infraestructura más adelante. Una revisión de alcance limitado puede centrarse en un componente concreto del servicio, un intervalo de fechas o una pequeña muestra de servidores en lugar de en toda la red global.
Por eso algunos analistas e investigadores de privacidad prefieren acumular pruebas en lugar de un único certificado. Los casos más sólidos suelen combinar auditorías externas, divulgaciones legales claras, aplicaciones o herramientas de código abierto y situaciones reales en las que las autoridades no pudieron obtener registros significativos. Este último punto es especialmente importante porque el sector de las VPN tiene un largo historial de promesas exageradas.
Por qué las auditorías repetidas importan más que un único comunicado de prensa
Una auditoría puntual puede ser útil, pero la repetición indica si los controles de privacidad se están manteniendo. Si un proveedor se somete a revisiones a lo largo de varios años, realizadas por distintas firmas, eso crea un historial documental más sólido. También ofrece a periodistas y usuarios algo concreto que comparar cuando evolucionan las políticas.
NordVPN suele citarse aquí porque su historial de auditorías abarca varios ciclos de revisión. ExpressVPN recibe una atención similar porque su narrativa sobre privacidad está vinculada a decisiones de diseño técnico, no solo al lenguaje jurídico. Según los patrones de auditoría informados, la verificación repetida es una de las cosas más parecidas que tienen los compradores a los datos de tendencia en un mercado lleno de afirmaciones amplias.
También hay un aspecto práctico. Si un servicio de VPN está cambiando de manos, ampliando funciones o profundizando en la orquestación en la nube, los informes de auditoría anteriores no deberían considerarse una prueba permanente. La privacidad es una disciplina operativa, no una insignia estática.
Varias guías para consumidores también pasan por alto la realidad móvil. Elegir hoy un proveedor suele significar comparar la usabilidad en iPhone y Android, el comportamiento del interruptor de desconexión, el túnel dividido y el rendimiento regional, junto con señales de confianza. Ahí es donde contenidos como las VPN gratuitas frente a las de pago en iPhone y Las mejores VPN móviles resultan útiles, porque la comodidad puede ocultar debilidades en la política.
Cómo leer las afirmaciones de no registros sin caer en el marketing de las VPN
El error más fácil es detenerse en el banner de la página de inicio. En su lugar, comprueba si el proveedor nombra a la firma de auditoría, indica cuándo tuvo lugar la revisión y explica el alcance. Si una empresa dice haber sido “verificada de forma independiente” pero no enlaza a un resumen del informe ni a una nota de transparencia, eso debería suscitar dudas.
Hay varias señales que conviene revisar de cerca:
- Auditor identificado, como PwC, Deloitte, Cure53 u otra firma identificable
- Revisión fechada, para que la afirmación quede situada en el tiempo
- Alcance claro, mostrando si la auditoría abarcó los controles sin registros, la seguridad de la aplicación, la infraestructura o los tres aspectos
- Detalles de diseño técnico, como servidores solo RAM o arquitectura sin disco
- Historial de transparencia, incluidos warrant canaries, requerimientos legales o notas públicas sobre incidentes
Una segunda comprobación consiste en si el proveedor ha afrontado alguna vez una presión legal real o la incautación de su infraestructura. Las afirmaciones probadas en tribunales o sometidas a incautación son poco frecuentes, pero cuando existen aportan otra capa de evidencias. Se trata de una inferencia basada en cómo suelen valorar la confianza los profesionales de la privacidad, dando más peso a las pruebas operativas que al texto publicitario.
Para los lectores que comparan herramientas más allá de las VPN, DualMedia también ha tratado cambios en la tecnología de privacidad y seguridad que determinan cómo se valora en la práctica la protección del consumidor.
Preguntas frecuentes
¿Qué proveedores de VPN han sido realmente auditados por sus afirmaciones de ausencia de registros?
Las publicaciones públicas y las declaraciones de los proveedores señalan con mayor frecuencia a NordVPN, ExpressVPN, Proton VPN, Mullvad y, en un sentido más amplio de auditoría de seguridad, a TunnelBear. El tipo exacto de auditoría varía, por lo que es importante verificar si un informe abordó específicamente las operaciones sin registros o, de forma más general, la postura de seguridad.
¿Una auditoría demuestra que una VPN nunca guarda ningún dato?
No. Una auditoría suele verificar sistemas y políticas en un momento dado y dentro de un alcance definido. Puede reforzar la confianza, pero no actúa como una garantía permanente que cubra cualquier cambio futuro del sistema.
¿Son mejores las auditorías repetidas que una sola auditoría?
Sí, por lo general. Las revisiones repetidas a lo largo de distintos años y por diferentes firmas crean un registro más sólido porque muestran si un proveedor mantiene los controles de privacidad a lo largo del tiempo.
¿Una auditoría de seguridad es lo mismo que una auditoría de no registros?
No siempre. Una auditoría de seguridad puede centrarse en vulnerabilidades de la aplicación, la calidad del código o el endurecimiento del servidor, mientras que una auditoría de no registros examina si los sistemas conservan la actividad del usuario o los datos de conexión identificables en contra de las afirmaciones de la política.
¿Qué deberían comprobar los compradores antes de confiar en una política de no registros?
Busca un auditor identificado, una fecha y una explicación clara de lo que se revisó. También ayuda comprobar la transparencia legal, la arquitectura técnica y si el proveedor tiene antecedentes de escrutinio público más allá de las páginas de marketing.
Qué observar a continuación
El mercado de las VPN está mejorando a la hora de hablar de pruebas, pero la carga sigue recayendo en el comprador para distinguir los hechos auditados de los eslóganes pulidos. Los proveedores más sólidos suelen dejar rastro: firmas identificadas, revisiones recurrentes, elecciones de arquitectura más claras y suficiente transparencia para que terceros puedan verificar la historia.
Para 2026, ese es el estándar práctico. Confía en los proveedores que facilitan la verificación, y desconfía de los que solo piden fe.
¿Quieres más cobertura como esta sobre tecnología e innovación? DualMedia Innovation News sigue los cambios tecnológicos que realmente importan, desde la IA hasta el hardware plegable, pasando por la próxima ola de productos de consumo.