Fexyn
Fexyn
All posts

Cómo elegir una VPN en 2026: una guía honesta para comprador

Fexyn Team··16 min read

Vendemos una VPN. No vamos a fingir que somos neutrales. Pero la alternativa a "honestidad sesgada" en esta categoría es "deshonestidad guiada por afiliados", y probablemente ya leíste suficiente de eso.

Esta es la guía que deseamos que existiera cuando estábamos tratando de averiguar qué VPN recomendarle a la familia. Asume que no trabajás en seguridad, que podés leer un artículo de Wikipedia, y que querés una respuesta real a "¿debería usar una VPN, y si sí, cuál?"

Vamos a decirte en qué somos buenos y en qué no. Vamos a nombrar competidores cuando su respuesta es mejor que la nuestra. Vamos a decirte que saltees una VPN por completo si eso es lo que matchea con tu situación.

Qué hace realmente una VPN

Una VPN encripta la conexión entre tu dispositivo y el servidor del proveedor VPN, luego reenvía tu tráfico al destino desde ahí. Desde la perspectiva de tu ISP, todo el tráfico parece una conexión al proveedor VPN. Desde la perspectiva del sitio web destino, el tráfico parece venir de la dirección IP del proveedor VPN en lugar de la tuya.

Esa es toda la afirmación técnica. Tres consecuencias concretas:

  • Tu ISP no puede ver destinos específicos o contenido. Ve que te conectaste a un proveedor VPN durante una duración. Eso es todo.
  • El sitio web destino no puede ver tu IP real. Ve la IP de salida VPN, que se comparte con todos los demás en ese servidor.
  • Los fisgones de Wi-Fi público no pueden leer tu tráfico. Una cafetería corriendo un access point malicioso ve tráfico encriptado a tu proveedor VPN, no los sitios web que estás visitando.

Eso es lo que hace una VPN. Ahora las cosas que la gente piensa que las VPN hacen y no hacen:

  • Una VPN no te hace anónimo. Tu proveedor VPN sabe que sos vos. También tu banco, tu proveedor de email, tus redes sociales, y cualquier sitio donde te logueás. Una VPN es privacidad de la capa de red, no anonimato.
  • Una VPN no protege contra phishing. Si hacés clic en un link malicioso y tipeás tu password, la VPN no ayuda. La conexión al sitio malicioso está encriptada; el sitio malicioso igual obtiene tu password.
  • Una VPN no reemplaza el antivirus o la seguridad del navegador. Las descargas de malware encriptadas por una VPN siguen siendo malware.
  • Una VPN no detiene el fingerprinting del navegador o el tracking de servicios donde estás logueado. Google igual sabe que estás logueado en Google.
  • Una VPN no evita que tu empleador vea el tráfico de tu dispositivo de trabajo. Los agentes de gestión corporativa instalados en el dispositivo leen tráfico antes de que se encripte.

Si tu modelo de amenaza es "sitios web rastreándome por internet", querés un navegador respetuoso de la privacidad más que una VPN. Si tu modelo de amenaza es "fuerzas del orden", querés Tor, no una VPN. Si tu modelo de amenaza es "mi ISP vende mi historial de navegación", o "quiero acceder a servicios bloqueados por mi país", o "estoy en Wi-Fi de hotel y no confío", entonces sí, una VPN es la herramienta correcta.

Qué buscar realmente

Jurisdicción

¿Dónde está registrada la empresa? ¿Dónde operan sus servidores? Son preguntas distintas.

La jurisdicción de la empresa determina qué leyes aplican cuando una corte ordena datos del usuario. El framing clásico de "Five Eyes / Nine Eyes / Fourteen Eyes" está exagerado: no hay tratado formal de vigilancia mutua entre esos países que obligue a los proveedores VPN a compartir datos. Pero las jurisdicciones occidentales generalmente tienen marcos legales que pueden compeler la divulgación de datos, y las jurisdicciones del este de Europa (Rumania, Suiza) han sido históricamente más amigables con la privacidad.

Mullvad está en Suecia. ProtonVPN está en Suiza. IVPN está en Gibraltar. NordVPN está en Panamá. Surfshark está en Holanda. ExpressVPN está en las Islas Vírgenes Británicas. Fexyn está en Wyoming, US: miembro de Five Eyes. Somos honestos sobre esto. La mitigación es estructural: sin logs que compeler divulgar, certificados de cliente de corta duración (24 horas) que limitan la correlación retroactiva, y facturación sólo en cripto para usuarios en mercados donde el pago con tarjeta crea un rastro de papel.

La respuesta honesta es que la jurisdicción importa menos que la política de logs. Un proveedor sin logs en un país de Five Eyes no tiene nada que entregar. Un proveedor con logs en Suiza tiene mucho.

Política de logs y auditorías

"Sin logs" es la promesa más reclamada y menos verificada en la industria VPN. ¿Qué significa realmente?

Una política real de no logs es operacional, no sólo un reclamo de marketing. Significa: sin historial de navegación (qué sitios visitás), sin logs de consultas DNS, sin contenido de tráfico, sin metadata de conexión que pudiera identificar después a un usuario (timestamps + IP origen + IP destino todos juntos). No significa "nunca logueamos nada": cada operador loguea uso agregado para facturación y planificación de capacidad. La pregunta es si los logs que existen podrían usarse para identificar la actividad de un usuario específico.

La forma de verificar esto es una auditoría. Un auditor externo (Cure53, KPMG, Deloitte, PricewaterhouseCoopers son los nombres comunes) examina la configuración real del servidor y las prácticas operacionales, luego publica un reporte.

Qué buscar en un reporte de auditoría:

  • Recencia. Una auditoría de 2022 es apenas útil en 2026. Buscá auditorías dentro de los últimos 18 meses.
  • Alcance. Una "auditoría de no logs" debería examinar la configuración real de logging, no sólo revisar documentación. El auditor debería haber tenido acceso al servidor.
  • Acceso al código fuente. Las mejores auditorías incluyen revisión de código del software cliente y servidor VPN.
  • Reporte público, no resumen. Algunos proveedores citan auditorías pero sólo publican un resumen de marketing. El reporte real debería estar disponible públicamente o disponible bajo solicitud.

ProtonVPN, NordVPN, ExpressVPN, Surfshark y Mullvad publicaron auditorías recientes. Los reportes varían en calidad: leelos. Las auditorías de ProtonVPN tienden a ser las más detalladas técnicamente.

Fexyn aún no publicó una auditoría externa. Somos honestos sobre esto. Enviamos componentes cliente open source (el helper-service es open source) para que el codebase sea al menos legible, y estamos trabajando hacia una auditoría en 2026. Esto es una brecha real y deberías pesarla contra los proveedores que ya publicaron.

Soporte de protocolos

El protocolo que usa tu VPN determina qué funciona en países censurados, qué velocidad obtenés, y qué tan confiables son las conexiones en redes con pérdida.

Los protocolos principales:

  • WireGuard: el más rápido, cripto moderna, simple. Estándar en 2026. Funciona en todos lados excepto países con filtrado VPN activo (Rusia, China, Irán, Pakistán).
  • OpenVPN: más lento, maduro, ampliamente soportado. Fallback de compatibilidad. Bloqueado en países con DPI activo.
  • VLESS Reality con Vision flow: la clase de protocolo que sobrevive DPI en Rusia, China, Irán, Pakistán, EAU. La mayoría de las marcas grandes de VPN no lo envían. Fexyn sí. Guía detallada del protocolo acá.
  • IKEv2 / IPsec: incorporado en la mayoría de los sistemas operativos. Razonable en redes móviles. Bloqueado en países con DPI activo.
  • Protocolos propietarios personalizados: NordLynx de NordVPN es WireGuard personalizado, Lightway de ExpressVPN es personalizado, Mullvad envía WireGuard estándar. Los protocolos personalizados tienen código no auditado; los protocolos estándar tienen revisión pública.

La respuesta honesta: si estás en un país con red abierta, WireGuard es el default correcto. Si estás en un país con filtrado VPN activo, necesitás un proveedor que envíe VLESS Reality (con Vision) o NaiveProxy. Si no estás seguro, elegí un proveedor que soporte ambos para tener opciones.

Kill switch

Un kill switch bloquea todo el tráfico de internet cuando la conexión VPN se cae, evitando que tu IP real se filtre. La mayoría de los proveedores afirman enviar uno. Pocos lo implementan bien.

La mala implementación: una "auto-desconexión" a nivel aplicación que detecta la caída de VPN e intenta restaurar la conectividad. La ventana entre caída y desconexión es de varios segundos. Durante esa ventana, tu IP real filtra. Muchas apps VPN usan este diseño.

La buena implementación: un filtro de firewall a nivel kernel que bloquea todo el tráfico excepto el túnel VPN, aplicado antes de que cualquier aplicación pueda enviar tráfico. En Windows esto es un filtro WFP. En macOS es una regla pf. En Linux son reglas iptables o nftables. El filtro persiste entre reinicios para que tu tráfico esté protegido aun si el cliente VPN no arrancó todavía.

Fexyn envía un kill switch basado en WFP con persistencia desde el arranque. También Mullvad. El Network Lock de ExpressVPN es similar en diseño. La mayoría de los otros proveedores usan el patrón de nivel aplicación. Testeá el kill switch de tu proveedor conectándote, luego deshabilitando tu adaptador de red en medio del stream y observando si el tráfico se reanuda desde tu IP real.

Opciones de pago

El pago con tarjeta crea un rastro de papel. Para la mayoría de los usuarios, esto está bien: tu banco sabe que compraste una VPN, pero eso no es notable.

Para usuarios en países restrictivos, donde comprar una VPN puede ser de por sí sensible, el pago anónimo importa. La respuesta estándar es criptomoneda (BTC, USDT, USDC, Monero). Algunos proveedores también aceptan gift cards o efectivo por correo.

Mullvad, IVPN, ProtonVPN y Fexyn aceptan cripto. NordVPN, Surfshark y ExpressVPN aceptan cripto con restricciones. Las VPN gratis no aceptan ningún tipo de pago, lo que nos lleva al siguiente punto.

Red flags

Red flags de que una VPN está vendiendo algo más que privacidad:

Gratis sin modelo de ingresos claro. Operar un servicio VPN cuesta dinero: servidores, ancho de banda, infraestructura. Si un proveedor lo ofrece gratis y no muestra anuncios (lo que la mayoría de las VPN "gratis" hacen), están monetizando tus datos, tu ancho de banda (usando tu dispositivo como proxy residencial), o ambos. Hola VPN fue descubierta haciendo exactamente esto en 2015. Múltiples apps VPN gratis fueron descubiertas desde entonces. Las excepciones a esta regla: el tier gratis de ProtonVPN (subsidiado por usuarios pagos) y Cloudflare WARP (incluido con su negocio CDN). La mayoría de las otras VPN "gratis" no son lo que dicen ser.

"Suscripciones de por vida". Una VPN real es un servicio continuo que le cuesta dinero real al proveedor operar. El precio de por vida es matemáticamente incompatible con operar el servicio indefinidamente. El patrón es que los proveedores con precio de por vida se van del negocio o silenciosamente discontinúan el servicio para clientes viejos.

"Encriptación de grado militar". Esto es lenguaje de marketing. AES-256 es un cifrador real; llamarlo "de grado militar" es lo que hacen los departamentos de marketing para hacer sonar emocionante a un cifrador aburrido. La frase no te dice nada sobre el producto.

Protocolos sólo propietarios sin auditoría. NordLynx de NordVPN es WireGuard personalizado con modificaciones propietarias. Lightway de ExpressVPN es personalizado. Ambas son empresas razonables y los protocolos probablemente están bien. Pero "confiá en nosotros" es la única garantía que tenés sin una auditoría de código independiente. Los protocolos estándar (WireGuard, OpenVPN) tienen años de revisión pública.

Marketing de afiliados agresivo. Si el nombre de una VPN aparece en cada listicle de "mejor VPN" en la primera página de resultados de búsqueda de Google, ese ranking está pagado. Las comisiones de afiliados por ventas VPN son del 30-100% del precio de suscripción del primer año. Los mayores gastadores de afiliados dominan el SERP de listicles. Esto no significa que esos productos sean malos: NordVPN, ExpressVPN y Surfshark son productos reales que funcionan, pero su dominio en resultados de búsqueda no es una señal de calidad.

Transparencia limitada o nula sobre infraestructura. Un proveedor confiable te dice dónde están los servidores, quién los opera, y qué cripto usan. Un proveedor que no lo hace está ocultando algo o no sabe.

Situaciones especiales

Para la mayoría de los usuarios, cualquier proveedor razonable hace el trabajo. Algunas situaciones requieren selección más cuidadosa:

Evasión de censura. Rusia, China, Irán, Pakistán, EAU, Arabia Saudita. El protocolo importa más que ninguna otra cosa. Necesitás VLESS Reality con Vision flow, NaiveProxy, o similar. La mayoría de las marcas grandes no envían estos. Fexyn sí (protocolo Stealth). Astrill sí. Algunos stacks autoalojados sí. NordVPN, ExpressVPN, Surfshark, ProtonVPN, Mullvad mayormente no funcionan en estos mercados en 2026 porque sus protocolos son detectables. Análisis específico de Rusia acá.

Streaming. Netflix, BBC iPlayer, Disney+ bloquean agresivamente rangos IP de VPN comerciales conocidos. El proveedor que elijas necesita mantener una flota de servidores que los streamers no hayan bloqueado todavía. Es un blanco móvil. La mayoría de las marcas grandes hacen esto; su rendimiento varía por servicio. Si el streaming es tu caso de uso principal, buscá reseñas recientes (dentro de 60 días) que testeen específicamente los servicios que te importan.

Profesiones sensibles a la privacidad. Periodistas, abogados, trabajadores de salud, activistas. La jurisdicción y la recencia de auditorías importan más acá. ProtonVPN e IVPN son las respuestas más fuertes en esta categoría. Mullvad también es una opción razonable. Tor para los casos más sensibles: una VPN no es Tor.

IP dedicada. Si necesitás una IP no compartida (algunos bancos marcan IPs VPN compartidas como riesgo de fraude, algunos servicios de streaming chequean si la IP es residencial), necesitás un proveedor que ofrezca IPs dedicadas como add-on. NordVPN, IVPN, y algunos otros lo hacen. Fexyn actualmente no.

Dónde encaja Fexyn

Auto-evaluación honesta.

En qué somos buenos. VLESS Reality con Vision flow en cada plataforma. El protocolo que sobrevive DPI en Rusia, China, Irán, Pakistán, EAU. Precios por nivel: Tier 4 (USD 2.99/mes) para mercados de bajo poder adquisitivo, Tier 1 (USD 9.99/mes) para mercados de alto poder adquisitivo. Facturación sólo en cripto para Rusia e Irán donde el pago con tarjeta está roto. Kill switch basado en WFP con persistencia desde el arranque. Páginas de país honestas que incluyen disclaimers legales que no tuvimos que escribir.

Lo que aún estamos construyendo. Auditoría de no logs externa (planeada para 2026, aún no publicada). El conteo de servidores es chico relativo a NordVPN (operamos Frankfurt, Helsinki, Cyprus, y Ashburn). Sin opción de IP dedicada. Los clientes de Windows y Android están enviados; los clientes de iOS, macOS y Linux vienen pronto.

Donde no somos la respuesta correcta. Si estás en US, UK o Alemania en una conexión doméstica normal y querés streaming + privacidad: NordVPN, ExpressVPN, ProtonVPN o Surfshark son todas opciones razonables y serán más baratas que nosotros con precio Tier 1. Si tu prioridad es un reclamo de no logs auditado por terceros hoy: ProtonVPN o Mullvad. Si querés un proveedor con jurisdicción suiza con email encriptado de extremo a extremo incluido: ProtonVPN.

No pensamos que Fexyn sea la respuesta para todos. Pensamos que somos la mejor respuesta para usuarios en mercados de censura pesada donde Reality es el único protocolo que funciona, y una respuesta razonable para usuarios que quieren un operador chico, técnicamente creíble y valoran orientación honesta específica del país.

Un árbol de decisión corto

Si podés responder "sí" a la primera pregunta que matchea con tu situación, esa es la clase de proveedor recomendada.

  1. ¿Estás en Rusia, China, Irán, Pakistán, EAU, Arabia Saudita, o en otro país con DPI activo? -> Un proveedor que envíe VLESS Reality con Vision. Fexyn, Astrill, o XRay-Reality autoalojado. La mayoría de las marcas grandes no funcionan acá.

  2. ¿Sos periodista, abogado, trabajador de salud, o activista con requisitos elevados de privacidad? -> ProtonVPN, IVPN, o Mullvad. Posiblemente Tor para las sesiones más sensibles.

  3. ¿Tu prioridad es streamear Netflix / BBC iPlayer / Disney+ / Hotstar desde el extranjero? -> NordVPN, ExpressVPN, o Surfshark. Mirá reseñas recientes (60 días) específicamente para los servicios que te importan.

  4. ¿Querés un proveedor con email + VPN + almacenamiento en la nube todo bajo un mismo paraguas? -> ProtonVPN.

  5. ¿Estás en una red doméstica u oficina normal y sólo querés privacidad de tu ISP más seguridad en Wi-Fi público? -> Casi cualquier proveedor razonable hace esto. Matcheá precio a tu presupuesto. Los tiers gratis de ProtonVPN, Cloudflare WARP, o Windscribe (limitados pero legítimos) son puntos de partida razonables.

Si no estás seguro entre dos proveedores, instalá ambos y usalos. La mayoría ofrece garantías de reembolso de 7 o 30 días. El producto que funciona en tu red específica es la opción correcta. La copia de marketing no es sustituto de testear de verdad.

Preguntas frecuentes

¿Necesito una VPN siquiera?

Probablemente no para la mayoría de la gente. Una VPN es útil para: seguridad en Wi-Fi público, acceder contenido geo-restringido, privacidad de la vigilancia a nivel ISP, y eludir censura. Si nada de eso aplica a vos, una VPN es exagerado. La privacidad de navegación es mayormente un problema de navegador, no un problema de red.

¿Es segura una VPN gratis?

Algunas sí. La mayoría no. El tier gratis de ProtonVPN es genuinamente gratis y operacionalmente legítimo. Cloudflare WARP es genuinamente gratis, incluido con su negocio CDN. El tier gratis de Windscribe es limitado pero legítimo. Casi todo lo demás comercializado como "VPN gratis" está monetizando datos del usuario, ancho de banda, o ambos. El consejo estándar ("si no estás pagando, sos el producto") aplica a las VPN más estrictamente que a la mayoría de las otras categorías de software.

¿Debería usar Tor en su lugar?

Si tu modelo de amenaza es fuerzas del orden o vigilancia de estado-nación, sí. Tor provee anonimato mucho más fuerte que una VPN. El costo es velocidad (Tor es significativamente más lento) y accesibilidad (algunos sitios bloquean nodos de salida Tor). Para privacidad cotidiana, una VPN es más rápida y fácil. Para anonimato de alto riesgo, Tor: posiblemente Tor sobre una VPN.

¿Puedo usar una prueba gratis sin comprometerme?

La mayoría de los proveedores reputados ofrecen una prueba gratis o garantía de reembolso. La prueba de 7 días de Fexyn no requiere tarjeta por adelantado. NordVPN, ExpressVPN, y Surfshark tienen garantías de reembolso de 30 días que sí requieren pago. Testeá el producto en tu red específica antes de comprometerte. Los reclamos de marketing no sobreviven al contacto con una red real.

¿Una VPN va a hacer más lenta mi internet?

Un poco. WireGuard agrega cerca de 5-10% de overhead en nuestras pruebas. VLESS Reality agrega 10-15%. La lentitud es mayormente imperceptible para navegar y streaming; es más notable para gaming y transferencias grandes de archivos. La distancia al servidor importa más que el protocolo: conectarse a un servidor a 8000km cuesta más que el overhead del protocolo. Respuesta detallada acá.

Si esta guía te convenció de que Fexyn es la respuesta correcta para tu situación, probanos gratis 7 días: no se requiere tarjeta para la prueba. Si te convenció de que no somos la respuesta correcta, eso también está bien. Elegí el proveedor que matchee con tu situación específica. El peor resultado es que te vendan el producto incorrecto por marketing brillante.

Leé más: Guía del protocolo VLESS Reality, Riesgos de VPN gratis, Cómo elegir una VPN en 2026, Mapa de censura.

Cómo elegir una VPN en 2026: una guía honesta para comprador | Fexyn VPN