Fexyn
Fexyn
All posts

HTTPS vs VPN: ¿sigo necesitando VPN si todo sitio usa HTTPS?

Fexyn Team··11 min read

La pregunta HTTPS vs VPN se hace mucho ahora que casi todo sitio tiene TLS. El razonamiento suena ajustado: "Si mi navegador muestra el candado, mi tráfico está encriptado, ¿por qué pagar una VPN?" El razonamiento también es incompleto en una forma específica que esta pieza va a recorrer.

Respuesta corta al frente: HTTPS encripta el contenido de lo que enviás a un sitio web específico. Una VPN encripta la metadata sobre qué sitios web visitás, cuándo, con qué frecuencia, y desde dónde. Se sientan en capas distintas del stack de red y protegen contra distintos tipos de observadores. Son complementarios, no redundantes.

Qué protege HTTPS

Cuando cargás https://example.com/private-page, TLS hace tres cosas entre tu navegador y example.com:

  1. Autentica al servidor. El handshake TLS verifica que estás hablándole al verdadero example.com, no a un impostor.
  2. Encripta el contenido. Cualquier cosa enviada dentro de la conexión (path de URL, headers, body, cookies) está encriptada. Tu ISP no puede leer los contenidos de la página. Un atacante en la cafetería en el Wi-Fi local tampoco puede leerlo.
  3. Protege la integridad. La conexión tiene chequeos criptográficos de integridad, así que un atacante no puede modificar silenciosamente los bytes en vuelo sin romper la conexión.

Es bastante. La cobertura de HTTPS es genuinamente fuerte. A 2026, más del 95% de la web abierta es sólo HTTPS, y los navegadores modernos advierten ruidosamente sobre las pocas excepciones.

Lo que HTTPS aún filtra

El reclamo de "contenido encriptado" es verdadero. El reclamo de "todo encriptado" no lo es. Varias piezas de metadata se filtran de una conexión HTTPS típica:

SNI (Server Name Indication)

Cuando tu navegador empieza un handshake TLS a un sitio, le dice al servidor a qué hostname quiere conectarse. Esto es necesario porque una IP frecuentemente hostea muchos sitios, y el servidor necesita saber qué certificado mandar de vuelta. El hostname se manda en claro al inicio del handshake.

Cualquiera observando la red ve el hostname. Tu ISP sabe que te conectaste a nytimes.com aunque no puedan leer qué artículo estás leyendo. El operador de red en el aeropuerto ve lo mismo.

Encrypted Client Hello (ECH) es un fix en progreso para esto. Cloudflare, Google, y Mozilla lo soportan. La mayoría de la web aún no. A 2026, SNI es texto plano para la vasta mayoría de los sitios que visitás.

Consultas DNS

Antes de que tu navegador pueda conectarse a nytimes.com, tiene que resolver el nombre a una IP. Por defecto, esta consulta va al servidor DNS de tu ISP en texto plano. Tu ISP ve el hostname resuelto incluso antes de que SNI siquiera ocurra.

DNS-over-HTTPS (DoH) y DNS-over-TLS (DoT) arreglan esto para usuarios que los configuran. Firefox hace DoH por defecto en algunas regiones. La mayoría de los usuarios en la mayoría de las plataformas siguen usando DNS de texto plano. Tenemos una pieza más profunda sobre cómo las fugas DNS exponen ubicación que recorre los modos de falla.

IP destino

Aunque SNI esté encriptado y DNS sea privado, la dirección IP destino está en claro. Tiene que estarlo: los routers a lo largo del camino la usan para reenviar paquetes. Un observador mapeando IP-a-dominio (lo que es trivial; rDNS, Censys, Shodan, o simplemente correr un crawler) puede usualmente averiguar qué sitio estás visitando sólo por la IP, especialmente para sitios en infraestructura dedicada.

La excepción son sitios grandes hosteados en CDN donde una IP sirve miles de dominios (las direcciones anycast de Cloudflare, los nodos edge de AWS CloudFront). En ese caso, la IP sola no es informativa. SNI usualmente llena el vacío.

Forma del tráfico

Aunque todo lo anterior estuviera perfectamente encriptado, un observador puede fingerprint el tipo de actividad observando tamaños de paquete, timing de paquetes, y patrones de conexión. El video streaming tiene un patrón reconocible de ráfaga-y-silencio. Las videollamadas tienen un flujo bidireccional estable a tasas características. Cargar una página web típica es una flurry de pequeños requests seguidos de una descarga grande. Análisis sofisticado de tráfico puede identificar sitios específicos e incluso videos específicos desde este fingerprint, especialmente para destinos de alto tráfico con contenido cacheable.

Este tipo de análisis es raro en práctica para usuarios individuales y común para adversarios a nivel de estado. Vale saber que existe.

Metadata de conexión

Tiempo de conexión, duración, y cuentas de bytes son todos visibles para la red. Tu ISP sabe que te conectaste a algo a las 9:47pm y permaneciste conectado por 23 minutos y transferiste 47 MB. Aunque todo lo demás esté oculto, la existencia y patrón de la conexión es metadata.

Qué protege una VPN

Un túnel VPN encripta tu conexión de red entera entre tu dispositivo y el servidor VPN. Tu ISP, el operador local de Wi-Fi, el portal cautivo, y cualquiera más observando el camino entre vos y el servidor VPN sólo ve bytes encriptados fluyendo a la IP del proveedor VPN.

Eso significa, desde la perspectiva de tu ISP:

  • Ven una conexión, a la IP del servidor VPN.
  • No pueden leer el SNI de ningún sitio que visités, porque toda la data SNI está dentro del túnel encriptado.
  • No pueden leer tus consultas DNS, porque DNS pasa dentro del túnel y se resuelve a través del resolver del proveedor VPN.
  • Ven la forma de tráfico de una conexión grande agregada (navegación, streaming, llamadas, todo multiplexado dentro del mismo túnel), no la forma por sitio que verían de otro modo.

Lo que aún ven: que tenés una conexión VPN, la IP del servidor VPN, el momento en que te conectaste, la duración, y el total de bytes transferidos. La metadata sobre tu conexión VPN misma es visible. La metadata sobre lo que hacés adentro no lo es.

El cambio de confianza

Una VPN no elimina el problema del observador. Mueve el límite de la confianza.

Antes de una VPN, tu ISP ve todo: los destinos a nivel IP, el SNI, el DNS, los patrones de tráfico. Después de una VPN, tu ISP no ve nada útil, pero el proveedor VPN ve lo que el ISP solía ver. El proveedor VPN se convierte en el nuevo ISP para fines de privacidad.

Si eso es una mejora de privacidad depende enteramente de si confiás en el proveedor VPN más que en tu ISP. Razones para confiar en un proveedor VPN pago más que en un ISP típico:

  • El modelo de negocio de la VPN es la privacidad. Si los pescan logueando o vendiendo datos, los clientes se van. El modelo de negocio del ISP es la conectividad, frecuentemente subsidiada por targeting de anuncios y venta de datos.
  • Las VPN reputadas tienen jurisdicciones amigables con la privacidad, reclamos de no logs auditados, y políticas claras. La mayoría de los ISPs no.
  • Las VPN no tienen un mandato regulatorio de retener datos de conexión. Muchos ISPs sí (UK, Australia, partes de la UE).

Razones para tener cautela:

  • El proveedor VPN puede en principio loguear todo. La ganancia de privacidad está condicionada a su honestidad y competencia operacional.
  • Las VPN gratis en particular frecuentemente tienen modelos de negocio que monetizan datos de usuario. Una VPN gratis es usualmente un downgrade de privacidad comparado con un ISP grande.
  • Los reclamos auditados envejecen. Un proveedor que estaba limpio hace tres años puede haber cambiado de dueño, infraestructura, o staff.

Para nosotros específicamente: aún no tenemos una auditoría externa independiente de nuestros reclamos de no logs. Nos comprometimos a una en 2026 y publicaremos los resultados completos. Hasta entonces, somos un proveedor no verificado pidiéndote que confíes en nosotros, y reconocemos que esa es una limitación real. Llevá el mismo escepticismo a cualquier proveedor que aún no haya sido auditado.

Cuándo HTTPS solo es suficiente

Visión honesta: para muchos usuarios en muchas situaciones, HTTPS solo cubre lo que realmente les importa.

Si estás en casa en un ISP en el que confiás, en un país que no retiene o monetiza agresivamente datos de ISP, y no te importa particularmente que tu ISP sepa los dominios que visitás, HTTPS maneja el modelo de amenaza. La VPN agrega privacidad que tal vez no valorás personalmente al costo de plata y un pequeño overhead de velocidad.

El caso honesto para una VPN es cuando una de las siguientes es verdadera:

  • Estás en una red que no controlás o no confiás (hotel, café, aeropuerto, conferencia).
  • Tu ISP está en una jurisdicción que retiene o vende datos de conexión.
  • Tenés un destino específico que no querés asociado con tu IP real.
  • Querés acceder contenido que está geo-bloqueado desde tu ubicación real.
  • Estás en un país que filtra o bloquea partes de internet.

Si nada de esto te aplica, HTTPS solo es razonable. Nuestro write-up ¿realmente necesito una VPN? recorre esta pregunta con más cuidado.

Cuándo importa HTTPS más una VPN

Los dos juntos cubren las cosas que ninguno cubre solo:

  • HTTPS protege los contenidos de la página de todos, incluido el proveedor VPN.
  • La VPN protege la metadata sobre qué páginas cargás de tu ISP.
  • HTTPS autentica que estás hablándole al sitio real, no a uno falso.
  • La VPN protege contra un atacante de red local malicioso que de otro modo vería SNI, DNS, y forma de tráfico aunque no pudiera leer el contenido encriptado.

Usados juntos, el único observador significativo que queda es el sitio de destino mismo (que ve la solicitud porque es la solicitud) y el proveedor VPN (que ve los bytes encriptados-al-destino fluyendo a través de su servidor pero no puede leer dentro de la capa HTTPS).

Conclusiones prácticas

  • HTTPS es necesario, no suficiente, para privacidad de red.
  • Una VPN no reemplaza a HTTPS. Protegen cosas distintas en capas distintas.
  • El framing "tengo HTTPS, no necesito VPN" asume que lo único que vale la pena proteger es el contenido de la página. La metadata es su propia preocupación de privacidad.
  • El framing "VPN protege todo" también es incorrecto. Una VPN mueve tu confianza al proveedor; no encripta mágicamente contenido que el destino habría visto igual.

Si querés un toma más profunda sobre lo que un ISP puede ver realmente sin una VPN, tenemos una pieza en qué ve tu ISP sin una VPN. Para el cuadro de privacidad más amplio, mitos VPN desmentidos cubre las concepciones erróneas más comunes en un solo lugar.

Las dos tecnologías son capas en un stack, no competidores. Corré ambas.

HTTPS vs VPN: ¿sigo necesitando VPN si todo sitio usa HTTPS? | Fexyn VPN