Las redes privadas virtuales (VPN) se han popularizado como herramientas para proteger la identidad en línea y eludir la censura, y son muy utilizadas por periodistas y activistas. Sin embargo, la protección no es automática: depende de la integridad del proveedor y de su modelo de negocio. La elección de un servicio requiere evaluar la política de registros, la jurisdicción y las prácticas de monetización.
Investigaciones, como las de Zimperium, han revelado que más del 65 % de las aplicaciones VPN gratuitas para móviles presentan fallos o recopilan datos sin consentimiento, lo que posibilita su venta a anunciantes y corredores de datos y convierte el dispositivo en un punto de vigilancia también para las autoridades.
El Grupo de Inteligencia contra Amenazas de Google documentó una campaña denominada «IPIDEA«, que simulaba ser una VPN y transformaba millones de dispositivos en nodos de una red de espionaje, evidenciando que las aplicaciones pueden ser vectores de ataque más allá del simple enmascaramiento del tráfico.
La presión legal es otra realidad: hay proveedores que publican informes sobre las solicitudes que reciben de las autoridades; en otros casos han quedado en evidencia incidentes de seguridad (por ejemplo, NordVPN), y su situación jurisdiccional (Panamá) exige un escrutinio crítico. La jurisdicción y las auditorías independientes son factores decisivos.
Alternativas correctamente auditadas, como por ejemplo Mullvad, con sede en Suecia, demuestran que es posible operar con políticas verificables, limitar los registros e incluso aceptar pagos anónimos. Se recomienda seleccionar proveedores con auditorías independientes, transparencia y respeto a la privacidad.
Fontes:
- Zimperium / coberturas do estudo sobre VPNs: https://www.zimperium.com/blog/insecure-mobile-vpns-the-hidden-danger · https://digit.fyi/report-65-of-free-vpns-pose-critical-privacy-risks/ (resumo informativo).
- Google / destrución da rede IPIDEA: https://www.reuters.com/technology/google-disrupts-large-residential-proxy-network-reducing-devices-used-by-2026-01-28/ · https://blog.google/innovation-and-ai/infrastructure-and-cloud/google-cloud/gtig-ipidea-disrupted/
- NordVPN / resposta ao incidente de 2019: https://nordvpn.com/blog/official-response-datacenter-breach/ · https://www.eff.org/deeplinks/2019/11/virtually-private-network-nordvpns-breach-and-limitations-vpns
- Mullvad / auditorías e políticas de non rexistro: https://mullvad.net/en/blog/new-security-audit-of-account-and-payment-services · https://mullvad.net/en/help/no-logging-data-policy