Fexyn
Fexyn
All posts

Los secretos sucios de la industria VPN

Fexyn Team··12 min read

La industria de VPN para consumidores está más concentrada, más conflictuada y es menos transparente de lo que sugiere su marketing. La mayoría de los usuarios no sabe quién es dueño de la VPN que paga. La mayoría de las reseñas son relaciones comerciales disfrazadas de periodismo. La mayoría de las afirmaciones de "sin logs" no tienen verificación de terceros.

Este artículo nombra nombres. No pretende que Fexyn esté por encima de la pelea; es honesto sobre dónde estamos. El sesgo está declarado; los hechos documentados son verificables independientemente.

Concentración de propiedad

Dos entidades corporativas son dueñas de una porción sustancial del mercado de VPN para consumidores.

Kape Technologies (cotiza en Londres, sede en Reino Unido). Dueña de ExpressVPN, CyberGhost, Private Internet Access (PIA), ZenMate. Adquirió ExpressVPN en 2021 por 936 millones de dólares.

La historia de Kape importa. Antes la empresa se llamaba Crossrider, una herramienta usada para desarrollar extensiones de navegador que incluían adware y productos cercanos al malware. Crossrider se rebrandeó a Kape Technologies en 2018. El rebrand pasó al mismo tiempo que la adquisición de CyberGhost; la idea de que Kape ahora es "una empresa de privacidad" en vez de "una empresa de adware vestida de privacidad" es la postura de marketing.

La propiedad de Kape importa porque:

  • Las marcas (ExpressVPN, CyberGhost, PIA) se venden como operaciones independientes enfocadas en privacidad
  • La matriz corporativa real tiene una historia que contradice esa postura de marketing
  • La misma empresa también es dueña de Webselenese, que opera sitios de reseñas importantes incluyendo vpnMentor y Wizcase
  • Los mismos sitios de reseñas que Kape posee rankean alto a las VPN de Kape. El conflicto no se declara prominentemente.

Los usuarios que compran ExpressVPN, CyberGhost o PIA están comprando dentro del grupo Kape sin importar a qué marca le paguen. Las prácticas de datos a nivel corporativo aplican a todas las marcas.

Nord Security (y la relación con Tesonet). Matriz de NordVPN. Históricamente la estructura corporativa ha involucrado a Tesonet (una empresa de servicios de TI en Lituania) y las marcas Nord. NordVPN se vende como basada en Panamá; la matriz corporativa está en Lituania; las decisiones operativas están con Nord Security en Vilna.

Nord Security en 2024 anunció una fusión con la matriz de Surfshark (también relacionada con Tesonet). Las dos marcas siguen operando por separado pero están unidas corporativamente.

La implicación: NordVPN y Surfshark no son competidoras independientes. Son marcas hermanas de la misma matriz corporativa. Las reseñas que las comparan están comparando dos productos de la misma empresa.

El complejo industrial del marketing de afiliados

Los programas de afiliados de VPN para consumidores pagan entre 30% y 100% de la suscripción del primer año como comisión a quien refiere. Un usuario que compra una suscripción de NordVPN de 40 dólares al año genera 30-40 dólares de comisión a quien tenga el link de afiliado que cerró la venta. Con plazos de 6-12 meses de retención, la comisión de por vida por cliente es sustancial.

Esto produce una estructura de mercado específica:

Los listicles de "Mejor VPN" son colocaciones pagadas. La VPN que aparece en primer lugar en la mayoría de los listicles es la que paga la comisión de afiliado más alta para el tráfico de ese listicle. La calidad correlaciona con el pago, no al revés. Las mismas cinco o seis marcas aparecen en casi cada lista de "mejor VPN" porque tienen los presupuestos de afiliados más altos.

Los sitios de reseñas con integridad editorial son raros. Existen reseñas de VPN independientes (Privacy Guides, Wirecutter a veces, publicaciones enfocadas en seguridad ocasionalmente). Los sitios que dominan los resultados de Google para "mejor VPN" son predominantemente impulsados por afiliados.

Los reviewers de YouTube son comerciales. La mayoría de los canales de YouTube enfocados en VPN se financian con promoción pagada. Los patrocinios declarados son reales; el sesgo no declarado es que el ingreso del reviewer depende de que la relación continúe.

Los mismos listicles se republican. Si lees un artículo de "Mejor VPN 2026" y otro, recomiendan los mismos productos en rankings parecidos. La narrativa es compartida porque los incentivos financieros son compartidos.

La solución para el usuario es probar directamente. Las ventanas de reembolso de 30 días que ofrecen la mayoría de las VPN de buena reputación son el mecanismo real de evaluación. La copia de marketing no.

La brecha de auditoría en la afirmación "sin logs"

La mayoría de los proveedores de VPN afirman "sin logs". Pocos lo han verificado.

Auditorías que se han hecho:

ProtonVPN. Múltiples auditorías de Cure53 incluyendo el alcance de no-logs. Reportes públicos.

Mullvad. Auditorías de Cure53 y Assured AB. Reportes públicos. De las más exhaustivas en la industria.

ExpressVPN. Auditorías de PricewaterhouseCoopers y KPMG durante varios años. Reportes disponibles con restricciones.

NordVPN. Auditorías de PricewaterhouseCoopers y Deloitte durante varios años. Reportes resumidos públicamente.

Surfshark. Auditoría de Deloitte (2023). Resumen público.

TunnelBear. Cure53 (2017, 2020). Pública.

IVPN. Auditorías de Cure53. Públicas.

VyprVPN. Leviathan Security (2018). Pública.

CyberGhost, PIA. Varias auditorías con transparencia mixta.

Proveedores sin auditorías de no-logs publicadas recientemente: la mayoría de los proveedores más pequeños y nuevos. Fexyn está en este grupo. Aún no hemos completado una auditoría de terceros. Planeada para 2026. Hasta entonces, la afirmación de no-logs es operativa y declarada pero no verificada externamente.

Para usuarios que tratan la verificación por auditoría como crítica para la confianza, esto importa. ProtonVPN y Mullvad tienen las afirmaciones auditadas más sólidas hoy; los usuarios que necesitan específicamente esto deberían considerarlos por encima de nosotros.

La implementación de "sin logs" importa

Más allá de las auditorías, la implementación técnica de no-logs varía:

Operativamente sin logs. Los sistemas no retienen logs de navegación o consultas DNS porque la configuración no los genera. ProtonVPN y Mullvad operan así; Fexyn opera así.

Marketing de no-logs pero con metadata operativa. El proveedor dice "sin logs" pero los sistemas retienen metadata de conexión que podría identificar la sesión específica de un usuario si es citado. Menos seguro para el modelo de amenaza de no-logs; el lenguaje de marketing es técnicamente defendible pero la realidad operativa es más débil.

Logs que pasan por un pipeline de borrado. Proveedores que retienen logs brevemente para fines operativos, luego los borran. La ventana durante la cual existen los logs es el período de exposición a citaciones. Algunos proveedores en esta categoría se marcan como "sin logs" si el temporizador de borrado es lo suficientemente corto.

Las auditorías ayudan a distinguir esto. Sin una auditoría, sólo tienes la palabra del proveedor.

Secretos de la infraestructura de servidores

Los proveedores de VPN comúnmente promocionan conteos de servidores: "¡5,000+ servidores en 60 países!" La realidad es más matizada.

Muchos "servidores" son máquinas virtuales. Un proveedor con "5,000 servidores" puede tener 500 máquinas físicas cada una corriendo 10 servidores virtuales. Cada VM obtiene su propia IP y cuenta como un "servidor" para fines de marketing; el hardware subyacente es compartido.

Algunos "servidores en el país X" están físicamente en el país Y. Un proveedor con "servidores en Islandia" puede tener un servidor físicamente en Frankfurt configurado para presentar una IP islandesa vía routing. La conexión del usuario sigue terminando en Frankfurt; sólo la IP aparente es islandesa. El proveedor puede declararlo en letra chica o no.

La capacidad por servidor varía enormemente. Un servidor bare-metal de 1U con red de 10Gbps puede atender a miles de usuarios concurrentes. Un servidor virtual con red de 1Gbps atiende a docenas. El marketing de "5,000 servidores" no diferencia.

Los proveedores con infraestructura más pequeña y transparente suelen ser más honestos. Mullvad publica su desglose bare-metal vs rentado. IVPN publica listas de servidores detalladas. Fexyn actualmente opera cuatro servidores físicos (Frankfurt, Helsinki, Chipre, Ashburn) y lo decimos claramente.

El problema de las VPN gratis

Las VPN gratis para consumidores casi universalmente tienen problemas de recolección de datos. El patrón:

Hola VPN (incidente de 2015). Vendía el ancho de banda de los usuarios como nodos de proxy residencial para botnets. Documentado y conocido públicamente.

Onavo Protect (Facebook, 2019). VPN gratis que recolectaba datos de usuarios para la inteligencia competitiva de Facebook. Sacada de las tiendas de apps tras la revelación.

SuperVPN (varios incidentes). Filtración de datos exponiendo 360 millones de registros. Desajuste entre política de privacidad y práctica.

Varias VPN gratis menores. Reportes frecuentes de venta de datos, malware, uso del ancho de banda del usuario como proxy residencial, inyección de anuncios.

Las excepciones:

Tier gratis de ProtonVPN. Operativamente legítima; subsidiada de forma cruzada por usuarios pagos.

Tier gratis de Cloudflare WARP. Empaquetada con el negocio de CDN de Cloudflare; no es una VPN enfocada en privacidad pero es técnicamente legítima.

Tier gratis de Windscribe. Ancho de banda limitado; operación legítima.

Herramientas anti-censura (Lantern, Psiphon). Categoría diferente; anti-censura sin fines de lucro en vez de VPN comercial.

Para el resto, la regla de la industria aplica: si no estás pagando, eres el producto. Las apps de VPN gratis para consumidores que se monetizan vía recolección de datos son esencialmente todo el modelo económico del espacio de VPN gratis.

Dónde está Fexyn honestamente

Somos una empresa pequeña. Operamos cuatro servidores físicos. Estamos basados en Wyoming, EE.UU. (Five Eyes). Aún no hemos completado una auditoría independiente de no-logs.

Lo que ofrecemos:

  • VLESS Reality con el flujo Vision (xtls-rprx-vision): protocolo enviado por nosotros, Astrill y un pequeño número de otros. La mayoría de las marcas grandes no. Este es el diferenciador técnico.
  • Kill switch a nivel kernel basado en WFP — Fexyn, Mullvad, ProtonVPN, IVPN están en este grupo; la mayoría de las marcas grandes tienen kill switches a nivel de aplicación con ventanas de filtración.
  • Pago sólo en cripto como opción — útil para usuarios en mercados donde el pago con tarjeta está roto o donde importa minimizar el rastro de cuentas.
  • Precios por tier — Tier 1 ($9.99/mes) a Tier 4 ($2.99/mes) por región. Honestos sobre poder adquisitivo regional.
  • UI en 5 idiomas — EN, RU, TR, AR, pt-BR. Español marcado para el próximo sprint.
  • Páginas de país honestas con contexto legal — incluyendo EE.UU., UE, Rusia, China, Irán, Pakistán, EAU.

Lo que no ofrecemos:

  • Auditoría de no-logs independiente todavía. Planeada para 2026.
  • Marketing de conteo de servidores comparable a los "5,000 servidores" de NordVPN. Tenemos cuatro. Lo decimos.
  • Protocolo propietario rápido con afirmaciones de marketing. Bolt es solamente WireGuard; Stealth es solamente VLESS Reality con el flujo Vision. Protocolos estándar, nombres planos.
  • Programa de afiliados diseñado para manipular rankings de listicles. No estamos en los listicles principales de afiliados porque no pagamos las comisiones para estar ahí. Esto es una decisión de posicionamiento; el costo es crecimiento de marca más lento.

Para usuarios que prefieren un proveedor más pequeño y técnicamente más transparente sobre las marcas dominantes en listicles de afiliados: Fexyn es apropiado. Para usuarios que requieren una afirmación de no-logs auditada hoy: ProtonVPN o Mullvad. Lo decimos abiertamente.

Qué buscar realmente en una VPN

El framework que sobrevive a la capa de marketing:

  1. No-logs auditado. O al menos una afirmación operativa creíble con arquitectura explicada públicamente.
  2. Clientes open-source. Más fácil verificar lo que el cliente realmente hace.
  3. Kill switch a nivel kernel. Menor riesgo de filtración que a nivel aplicación.
  4. Protocolos modernos. WireGuard como mínimo; Reality para casos de resistencia a censura.
  5. Jurisdicción razonable. No perfecta. Menos importante que la verificación de no-logs.
  6. Opción de pago en cripto. Útil para minimizar rastro.
  7. Declaración honesta de infraestructura. Bare metal vs rentado; conteo de servidores físicos vs virtuales.
  8. Transparencia de precios. Incluyendo prácticas de auto-renovación y políticas de reembolso.

Aplica este checklist a cualquier VPN — incluyendo Fexyn. Sacamos buena nota en la mayoría, débil en auditoría, y lo decimos.

Preguntas frecuentes

¿Quién es realmente dueño de mi VPN?

Busca la empresa que aparece en la política de privacidad. Mira la matriz. La VPN que compraste de "ExpressVPN" ahora es Kape Technologies. La "NordVPN" de la que compraste es parte de Nord Security / Tesonet.

¿Las reseñas de VPN son confiables?

Casi universalmente no, con raras excepciones. Privacy Guides, guía de la EFF, publicaciones enfocadas en seguridad ocasionalmente. Los sitios que dominan los SERP de "mejor VPN" son relaciones comerciales, no periodismo.

¿Por qué cada lista de "mejor VPN" incluye las mismas marcas?

Comisiones de afiliados. Las marcas que pagan las comisiones más altas aparecen en más listicles. Las marcas que no pagan no aparecen, aunque sean técnicamente mejores productos.

¿Mullvad es realmente mejor que NordVPN?

Productos diferentes. Mullvad: auditoría de no-logs más fuerte, clientes completamente open-source, jurisdicción Suecia, sin programa de afiliados de marketing, sin trucos de precios dinámicos. NordVPN: flota de servidores más grande, más disponibilidad de servidores para streaming, marketing al consumidor más agresivo, precio más bajo en Black Friday. El caso de uso determina cuál es mejor.

¿Debería confiar en Fexyn dado que no hay auditoría?

Es una pregunta justa. Los proveedores auditados (ProtonVPN, Mullvad) tienen verificación externa más fuerte. Estamos trabajando hacia eso. Hasta entonces, nuestra oferta es la declaración honesta de lo que hacemos, una base de código open-source del helper service y una operación lo suficientemente pequeña como para que el modelo de confianza sea "la empresa misma" en vez de "una afirmación auditada".

Prueba Fexyn gratis 7 días — operación pequeña, precios transparentes, honestos sobre lo que aún no tenemos. Cómo elegir una VPN cubre el framework de compra; jurisdicción Five Eyes cubre la cuestión jurisdicción-vs-logs específicamente.

Última revisión 2026-05-09. La estructura corporativa de la industria evoluciona; los detalles pueden haber cambiado desde la publicación.

Los secretos sucios de la industria VPN | Fexyn VPN