Reglas VPN CERT-In, cuatro años después: quién dejó India

En abril de 2022 el Equipo Indio de Respuesta a Emergencias Computacionales — CERT-In — emitió una directiva que reestructuró fundamentalmente el mercado VPN en India. Se reportó como una represión a la privacidad. Era más específicamente un requisito de cumplimiento que varios proveedores eligieron no cumplir. Cuatro años después, el mercado VPN indio aún opera alrededor de las consecuencias.

Podemos escribir sobre esto honestamente porque nunca tuvimos servidores en India en primer lugar. Las marcas occidentales importantes — NordVPN, ExpressVPN, Surfshark, ProtonVPN, Mullvad — sí tenían servidores en India y tuvieron que tomar una decisión a mediados de 2022. La mayoría eligieron irse físicamente. No han estado ansiosos por publicar entradas de blog tituladas "Dejamos India" desde entonces.

Esto es lo que pasó realmente, qué ha cambiado desde entonces, y cómo pensar al respecto.

Qué requiere CERT-In en realidad

La directiva de abril de 2022 es corta. Aplica a proveedores de VPN, proveedores de nube y operadores de centros de datos con infraestructura en India. Los requisitos relevantes:

• Cinco años de retención de KYC del cliente. Campos requeridos: nombre, dirección, teléfono, correo, dirección IP asignada al cliente, periodo del contrato, método de pago, y propósito declarado de uso de la VPN. El último es inusual — la mayoría de los regímenes de retención piden qué fue el servicio, no para qué se usó.
• Reporte de incidentes en seis horas. Cualquier incidente de ciberseguridad tiene que reportarse a CERT-In dentro de seis horas de identificado. Para comparación, el GDPR de la UE requiere 72 horas.
• Logs sincronizados a hora india (NTP-sincronizados a servidores NIC o NPL).
• Logs mantenidos por 180 días para logs generales de sistema/red (separado de la retención KYC del cliente de 5 años).

La directiva entró en vigor el 27 de junio de 2022. Las penas por incumplimiento alcanzan hasta un año de prisión para directivos de la empresa bajo la Sección 70B(7) de la Ley de TI, más multas monetarias.

Por qué la mayoría de los proveedores reputables se rehusaron a cumplir

El requisito de retención era estructuralmente incompatible con un compromiso sin logs.

Una VPN sin logs, en su forma honesta, no mantiene registros que conecten a un cliente con sus conexiones, tráfico o destinos. NordVPN, ExpressVPN, Mullvad, Proton y Surfshark todos han comercializado extensivamente con compromisos sin logs y la mayoría han tenido auditorías de terceros para respaldarlos. La directiva de CERT-In les requería mantener exactamente los tipos de registros que habían pasado años construyendo infraestructura para no mantener.

Sus opciones eran: (1) cumplir, registrar a los clientes indios por cinco años y silenciosamente abandonar la afirmación sin logs para esa base de clientes; (2) remover físicamente su infraestructura india para que la directiva no aplicara más; o (3) rehusarse a cumplir y aceptar exposición legal.

Mayormente eligieron la opción 2.

• ExpressVPN removió servidores indios el 2 de junio de 2022 — antes de que la directiva incluso entrara en vigor.
• NordVPN removió servidores indios el 26 de junio de 2022, el día antes del plazo.
• Surfshark removió servidores indios el 27 de junio de 2022.
• ProtonVPN removió servidores indios a principios de 2023 después de intentar inicialmente una alternativa.
• Mullvad removió servidores indios y nunca agregó reemplazos virtuales.
• IPVanish y Private Internet Access también retiraron infraestructura física.

Lo que no dejaron de hacer fue ofrecer "IP indias" a sus clientes. Se movieron a arreglos de servidor virtual: un servidor físicamente ubicado en Singapur (más comúnmente), Países Bajos o Londres, configurado con una dirección IP india enrutada vía un acuerdo de peering para que el tráfico parezca venir de India. NordVPN agregó su primera ubicación virtual de India en enero de 2024, alojada físicamente desde Singapur. ExpressVPN y Surfshark siguieron patrones similares.

Este es un compromiso real de producto. Una IP virtual india no tiene las mismas características que un servidor realmente en Mumbai o Bangalore — el perfil de latencia es diferente, la reputación del bloque IP puede diferir, y la ruta de enrutamiento atraviesa un enlace internacional. Para la mayoría de los casos de uso la diferencia es imperceptible. Para cargas que requieren servidor indio sensibles a latencia (algunos juegos en línea, ciertas interacciones bancarias reguladas), importa.

Los proveedores que sí cumplieron — manteniendo servidores físicos indios y registrando clientes según la directiva — son mayormente marcas más pequeñas y agregadores menos escrutados. No los nombramos; el punto es que "usa servidores indios" ya no es una señal de calidad en el entorno post-2022, es una bandera de cumplimiento.

Enero 2025: remociones de tienda de apps

Una segunda ola de aplicación aterrizó casi tres años después.

A finales de 2024 / principios de 2025, el Centro Indio de Coordinación de Cibercrimen (I4C), bajo el Ministerio del Interior, ordenó a Apple y Google remover apps VPN específicas de la App Store india de Apple y Google Play. La orden inicialmente apuntó a 14 apps, según reportes de la Internet Freedom Foundation (IFF) y MediaNama.

Cinco remociones fueron confirmadas en la prensa para el 3 de enero de 2025:

• Cloudflare 1.1.1.1 (técnicamente una app de DNS-y-WARP, pero incluye un túnel VPN gratuito de WireGuard)
• Hide.me VPN
• PrivadoVPN
• Touch VPN
• X-VPN

Las marcas comerciales importantes — NordVPN, ExpressVPN, Surfshark, Proton, Mullvad, Private Internet Access — no estaban en la lista confirmada de removidas a esa fecha. Sus apps siguieron disponibles en las tiendas de apps indias.

La base legal fue la Sección 69A de la Ley de TI leída con las Reglas de Tecnología de la Información (Procedimiento y Salvaguardas para el Bloqueo de Acceso a Información por el Público), 2009. La IFF notó públicamente que la orden fue emitida sin procedimientos estándar de transparencia y sin dar aviso a los usuarios afectados.

La prohibición de VPN del distrito Doda (mayo de 2025)

En mayo de 2025, la administración del distrito Doda en Jammu y Cachemira emitió una orden bajo la Sección 163 de la Bharatiya Nagarik Suraksha Sanhita (BNSS, el nuevo código de procedimiento criminal que reemplazó al CrPC) prohibiendo el uso de VPN en el distrito por dos meses. La razón declarada fueron preocupaciones de seguridad relacionadas con comunicaciones militantes específicas.

Esta fue la primera acción de aplicación a nivel regional india que apuntó al uso de VPN por individuos, no al cumplimiento del proveedor de VPN. El alcance geográfico fue un distrito. La duración fue dos meses. A finales de 2025 la orden no había sido renovada o extendida a otros distritos.

No es, por sí sola, evidencia de aplicación anti-VPN más amplia. Es evidencia de que las autoridades indias ahora han usado la Sección 163 BNSS para este propósito al menos una vez, y ese patrón puede en principio ser repetido en otras áreas sensibles a seguridad.

Qué significa esto para elegir una VPN en 2026

Algunas cosas se siguen de lo anterior, y son mayormente diferentes a lo que las listas te dirán.

1. "Tiene servidores indios" ya no es un criterio útil de selección

Pre-2022 era una señal positiva: menor latencia, enrutamiento más simple, a veces una ruta ligeramente más rápida a contenido indio. Post-2022 se correlaciona con el cumplimiento del mandato de logs de 5 años. Un proveedor reputable sin logs no tendrá servidores físicos en India en 2026. Si un proveedor comercializa servidores indios, la pregunta a hacer es si esos son virtuales (físicamente en otro lugar) o físicos (sujetos a la retención CERT-In).

2. Los servidores virtuales de India usualmente están bien

Si tu caso de uso es "quiero una IP india para acceder a JioHotstar/Netflix India/banca india", una IP india virtual de un proveedor sin logs funciona para la gran mayoría de esos escenarios. Los servicios de streaming no distinguen materialmente entre un servidor físico de Mumbai y una IP virtual india enrutada vía Singapur. Los sitios bancarios indios se preocupan por la IP, no la ubicación física subyacente.

Las excepciones son reales pero estrechas: gaming en tiempo real que requiere servidor indio donde la latencia a un servidor físico de Singapur es demasiado alta; ciertas plataformas de trading reguladas que requieren origen-de-conexión desde un centro de datos doméstico.

3. Las marcas grandes se fueron, pero no son las únicas que se fueron

Varias marcas más pequeñas tomaron la misma decisión silenciosamente. La pregunta de producto no es "qué VPN de marca grande funciona en India" sino "qué proveedores operando hoy tienen un compromiso estructural sin logs que no esté minado por ninguna ubicación de servidor activa que operen". El conjunto de respuestas incluye las marcas occidentales importantes, más varias más pequeñas — incluyendo Fexyn.

4. Sé consciente de la segunda ola

Las remociones de tienda de apps de enero de 2025 apuntaron a apps VPN gratuitas o freemium con reputaciones de seguridad pobres. Las marcas comerciales importantes no fueron afectadas. Pero la dirección regulatoria es de restricción incremental, y el precedente del distrito Doda muestra que la aplicación a usuario individual ahora está legalmente disponible donde las autoridades elijan perseguirla. Si vives o viajas a una región con preocupaciones de seguridad elevadas, tener una VPN ya instalada antes de llegar es más útil que tratar de descargar una a través de una conexión potencialmente estrangulada después.

5. El usuario final es mayormente no una parte regulada

CERT-In regula a operadores de infraestructura. La prohibición del distrito Doda es el único caso conocido de usuarios individuales siendo apuntados. El usuario VPN indio predeterminado no es una parte regulada y no enfrenta carga directa de cumplimiento. El proveedor que elijas, sin embargo, ha elegido su propia postura hacia la directiva — y esa elección es la parte que te afecta.

Cómo encaja Fexyn

Fexyn no opera ningún servidor en India. Nuestra infraestructura está en Frankfurt, Helsinki, Chipre y Ashburn. Servimos IP indias de la forma que cualquier otro proveedor reputable sin logs lo hace — vía servidores virtuales físicamente ubicados fuera de India.

Este es el trade-off que toda la industria de VPN reputable hizo en 2022. No somos únicos en hacerlo; somos únicos principalmente en estar dispuestos a escribir sobre ello.

Específicamente:

• No registramos historial de navegación, consultas DNS o contenido de tráfico.
• Emitimos certificados de corta duración de 24 horas desde una PKI Vault, así que el tiempo de vida de cualquier credencial comprometida está acotado.
• Nuestro precio para India es Tier 4 — 2.99 USD/mes — entre las tarifas publicadas más bajas de cualquier proveedor reputable.
• La prueba gratis de 7 días no requiere tarjeta por adelantado. El pago con tarjeta vía Visa/Mastercard india funciona a través de Stripe; UPI aún no está soportado. El pago en cripto está disponible como alternativa.

Si quieres el resumen de página de país con los pasos prácticos de configuración, está en VPN para India.

Una nota más amplia

Las directivas CERT-In de 2022 han sido caracterizadas en alguna cobertura de prensa occidental como una represión a la privacidad. La caracterización más precisa es racionalización regulatoria en un país con un problema serio de cibercrimen y una agenda de soberanía tecnológica en desarrollo. La mayoría de los requisitos de retención de datos y reporte de incidentes están bien precedentes internacionalmente.

La incompatibilidad específica con los modelos de negocio de VPN sin logs es una consecuencia real, pero es una consecuencia del compromiso sin logs siendo difícil de mantener bajo cualquier régimen de retención — no una falla única india. Varias otras jurisdicciones (Rusia en 2017 con las leyes Yarovaya, Bielorrusia en 2015, Pakistán con el licenciamiento CVAS-Data de 2025) han producido dinámicas similares de salida de proveedores.

La versión honesta, cuatro años después: India no se volvió más hostil hacia los usuarios de VPN. Se volvió una jurisdicción donde los proveedores reputables de VPN operan sin servidores locales. Ese es un cambio más pequeño que lo que sugirieron los titulares de las listas. También es un cambio del que los proveedores más afectados generalmente han evitado hablar, lo cual es por lo que existe este post.

Prueba Fexyn gratis 7 días — Precio Tier 4, no se requiere tarjeta para la prueba.

Relacionado

• VPN para India — página de país
• Cómo elegir una VPN en 2026
• Qué es una política sin logs
• Certificados de corta duración explicados