Fexyn
Fexyn
All posts

VPN gratis: cómo ganan dinero realmente

Fexyn Team··6 min read

Si una VPN es gratis sin paywall, sin signup wall, sin nivel premium, alguien la está pagando. Ese alguien no es la empresa que ofrece el servicio por diversión. La economía unitaria de operar una VPN no es cero: el ancho de banda cuesta dinero, el uptime de servidores cuesta dinero, el soporte al cliente cuesta dinero, las auditorías de seguridad cuestan dinero. Un producto gratis tiene que recuperar esos costos en algún lado.

Aquí está dónde, con casos documentados.

Vender datos de navegación

El modelo de negocio más común. La VPN registra lo que navegan los usuarios y vende los datos a redes publicitarias, firmas de investigación de mercado, o cualquiera dispuesto a pagar. (Para lo opuesto, qué es lo que una verdadera política de no logs compromete a no guardar, esa entrada cubre la redacción exacta que hay que buscar.)

Onavo. Facebook adquirió Onavo en 2013, lo comercializó como una VPN gratis bajo el lema "Mantén tus datos seguros." Onavo enviaba silenciosamente analíticas detalladas de tráfico de vuelta a Facebook, que usó los datos para identificar competidores en ascenso (el más famoso WhatsApp antes de la adquisición, y TikTok durante su crecimiento inicial). Apple expulsó a Onavo de la App Store en 2018 por violar las reglas de recolección de datos. Facebook eventualmente lo cerró. El patrón no fue exclusivo de Onavo; sólo estuvo bien documentado.

Hola VPN. Hola vendía el ancho de banda de sus usuarios como una red de proxies residenciales a través de una empresa hermana llamada Luminati (ahora Bright Data). Los clientes de Luminati, incluyendo en varios momentos scrapers, operadores de fraude publicitario, y al menos un operador de botnet, pagaban a Bright Data para enrutar su tráfico por las direcciones IP de los usuarios de Hola. En 2015, investigadores de seguridad usaron la red de Hola para lanzar un DDoS contra 8chan desde IPs de Hola comprometidas. La respuesta de Hola fue que esto funcionaba como estaba previsto.

Betternet. Un estudio de CSIRO de 2016 analizó 283 apps de VPN para Android y encontró que Betternet venía con 14 librerías de tracking distintas, el mayor número de cualquier VPN gratis probada. El mismo estudio encontró que el 38% de las VPN gratis para Android contenían malware o malvertising.

El patrón: cuando el precio es cero, el cliente es el producto, y "el cliente" significa el data exhaust que la VPN puede recolectar sobre vos.

Inyección de anuncios

Una VPN gratis es un middlebox de red. Ve cada solicitud HTTP que hacés, y históricamente (antes de que HTTPS fuera universal, ver qué es la encriptación para entender por qué HTTPS hizo esto mucho más difícil) podía reescribir respuestas en tiempo real para inyectar anuncios.

HotSpot Shield fue descubierto en 2017 inyectando anuncios y tracking de redirect en tráfico HTTP. El Center for Democracy and Technology presentó una queja ante la FTC. AnchorFree llegó a un acuerdo.

Esto es más difícil ahora que la mayor parte de la web es HTTPS, pero las apps de VPN gratis para móvil tienen una salida: instalan su propio certificado raíz durante el setup, y luego pueden inspeccionar y modificar tráfico HTTPS también. Varias VPN gratis para Android lo hacen. Otorgar un certificado raíz a una app en la que no confías totalmente equivale aproximadamente a dejarlos pararse entre vos y cada sitio que visitás, con las llaves para leer todo.

Vender tu IP como proxy residencial

Más cercano al modelo de Hola, pero más reciente. La VPN gratis te inscribe como nodo en su producto comercial de proxy residencial. Tu ancho de banda se alquila a otra gente, y tu IP aparece en tráfico de scraping, campañas de fraude publicitario, y ocasionalmente cosas peores. No lo ves: tu computadora simplemente corre un poco más caliente y consume algo de ancho de banda en segundo plano.

Bright Data, Oxylabs, IPRoyal, y otros operan este modelo de negocio abiertamente. Obtienen sus IPs residenciales de "apps de consumidor que pagan a usuarios por ancho de banda extra", frecuentemente apps de VPN renombradas. El usuario final firma un EULA que menciona esto, técnicamente.

Si estás usando una VPN gratis y de repente no podés acceder a ciertos sitios porque bloquearon la IP por comportamiento abusivo, esta es la razón.

Reclutamiento de botnets

El peor caso. Algunas apps de VPN gratis fueron descubiertas sumando silenciosamente dispositivos cliente a botnets que conducen credential stuffing, fraude de clics, o DDoS. El incidente Hola arriba es el ejemplo canónico, pero siguen apareciendo casos menores.

En 2024, un investigador de seguridad analizó varias apps de VPN para Android con más de 10M de descargas y encontró rutas de código que, bajo las condiciones correctas, retransmitirían tráfico de terceros desde el dispositivo. El usuario no tiene idea de que su celular está sirviendo brevemente como nodo proxy.

Throttling y límites de ancho de banda que empujan upgrades pagos

La versión menos dañina de la economía de las VPN gratis. La VPN es real, el servicio funciona, pero restringen el ancho de banda, la elección de servidores, y el acceso a funciones agresivamente para empujarte a hacer upgrade. A menudo la versión "gratis" está throttled hasta el punto de ser inutilizable.

Esto es honesto según los estándares de las VPN gratis. No sos el producto; simplemente te están haciendo upsell.

Cómo darse cuenta

Algunas verificaciones rápidas antes de instalar una VPN gratis:

  • ¿Tiene anuncios la app? Si sí, ya sabés cómo gana plata. Anuncios en una app de privacidad son una contradicción.
  • ¿Pide permisos que una VPN no necesita? Cámara, contactos, SMS: nada de esto se requiere para correr una VPN. Se requiere para cosechar datos.
  • ¿Instala un certificado raíz? Casi seguro está inspeccionando tu HTTPS.
  • ¿La empresa es identificable? Buscá al editor. Muchas apps de VPN gratis las operan empresas no reveladas en jurisdicciones que no requieren registro de empresas. Eso no es por accidente.
  • ¿Usa uno de los SDKs comerciales conocidos de alquiler de ancho de banda? El análisis estático o APKs decodificados con jadx revelan estos. El SDK de Bright Data es identificable; varios otros también.

Qué hacer en cambio

Pagá la VPN. El costo es de alrededor de USD 3-10/mes para las legítimas. Eso es menos que un solo café. Una VPN que vos pagás no necesita monetizar tus datos, tu ancho de banda, o tu IP.

Fexyn tiene una prueba gratis de 7 días: no se requiere tarjeta por adelantado, sin auto-conversión antes de que termine la prueba. Después de la prueba, el precio en USD es de USD 9.99/mes en el Tier 1, bajando a USD 2.99/mes en el Tier 4 en mercados de menor poder adquisitivo vía niveles de precio regional. La matemática es la misma que para todo lo demás: producto pago, sin modelo de financiamiento por vigilancia.

Relacionados

Probá Fexyn gratis 7 días: la versión honesta de gratis.

VPN gratis: cómo ganan dinero realmente | Fexyn VPN