¿Qué es una VPN? La guía sin rodeos
Una VPN es un servicio que envuelve tu tráfico de internet en un túnel encriptado y lo reenvía a través de un servidor que tú eliges. Tu ISP ve un stream encriptado a ese servidor. Los sitios web ven la IP del servidor, no la tuya. Ese es todo el producto. Todo lo demás que se promociona alrededor de las VPN es un efecto colateral de esos dos hechos o, francamente, hype.
Esta guía es la versión que ojalá alguien nos hubiera dado cuando empezamos a investigar VPN. Qué cambia cuando prendes una, qué no cambia, cuándo una VPN realmente te ayuda y cuándo estás pagando por nada.
Qué hace realmente una VPN
Cuando tu VPN está apagada, tu laptop habla directamente con la red de tu ISP. El ISP rutea tus paquetes a cualquier servidor que estés visitando. El ISP ve las IP de destino y los nombres de dominio que buscas. Los sitios que visitas ven tu dirección IP real. Los operadores de Wi-Fi público ven lo mismo.
Prende la VPN y tres cosas cambian.
Tu tráfico se encripta entre tu dispositivo y el servidor VPN. Tu ISP ya no puede leer lo que estás mandando. Ven bytes encriptados fluyendo a una dirección IP: el servidor VPN. No pueden saber si estás viendo YouTube, descargando correo o leyendo Wikipedia.
Tus consultas DNS pasan por el mismo túnel. La resolución de nombres de dominio (el paso que convierte ejemplo.com en una dirección IP) pasa en el resolver del proveedor VPN en vez del de tu ISP. Tu ISP ya no ve la lista de dominios que estás visitando. El proveedor VPN sí, lo que es parte de por qué "no-logs" es la pregunta más importante que puedes hacerle a una VPN.
Los sitios ven la IP del servidor VPN, no la tuya. Lo que sea que visites recibe una conexión desde la IP de salida VPN. No pueden derivar tu IP de casa de esa conexión. Todavía pueden hacer fingerprint de tu navegador, identificar tu cuenta si entras y leer tus cookies — esas no son preocupaciones de capa de red.
Ese es el mecanismo entero. Encriptación entre tú y el servidor, DNS por el túnel, el tráfico sale con una IP distinta. Nada más.
Lo que una VPN NO hace
Aquí es donde la mayoría del marketing se cae, así que vamos a ser específicos.
Una VPN no te hace anónimo. Mueve el límite de confianza, no lo borra. Sin VPN, tu ISP ve tu actividad. Con VPN, el proveedor VPN ve la misma actividad (menos contenido, ya que el tráfico a sitios HTTPS está encriptado de extremo a extremo). Reemplazaste a una parte por otra. Si eso es un upgrade depende enteramente de si el proveedor VPN guarda logs y de si confías más en ellos que en tu ISP.
Cuando entras a Gmail, Gmail sigue sabiendo que eres tú. Cuando los píxeles de tracking de Google disparan en el siguiente sitio que visitas, el tracking sigue funcionando. Depende de tu cuenta, tu fingerprint de navegador y cookies, no de tu IP. Una VPN no puede desacoplar tu cuenta de tu navegador.
Una VPN no te protege de phishing. Si haces click en un link malicioso y escribes tu contraseña en una página de login falsa, la VPN fielmente encripta y reenvía esa contraseña al atacante. El tunneling no inspecciona contenido. No sabe qué es malicioso.
Una VPN no te hace inmune a cookies o fingerprint. Las cookies del navegador persisten entre cambios de IP. El fingerprinting (canvas, fuentes, resolución de pantalla, peculiaridades de hardware) ignora la identidad de red por completo. Conectarte a través de una VPN no resetea las cookies que tu navegador ya aceptó, y no mezcla la combinación única de atributos que tu navegador anuncia a cada sitio.
Una VPN no detiene anuncios, malware o trackers por defecto. Algunos proveedores de VPN incluyen un bloqueador basado en DNS. Esa función es independiente de la VPN misma; puedes correr un bloqueador DNS sin VPN, y puedes correr una VPN sin bloqueador DNS. No compres una VPN esperando un bloqueador de anuncios.
Una VPN no encripta tráfico más allá del servidor de salida. Del servidor VPN al sitio de destino, tus paquetes viajan por internet regular. Si el sitio de destino usa HTTPS (la mayor parte de la web lo hace en 2026), ese tramo ya está encriptado por TLS. Si no, tu tráfico sale de la VPN y viaja en claro al destino — igual que sin VPN.
El modelo mental: una VPN es un mensajero privado entre tú y una oficina de reenvío. El viaje del mensajero está sellado. Una vez que tu correo sale de la oficina de reenvío, va por el sistema postal regular. Si el destinatario termina leyéndolo depende del destinatario y del sobre, no del mensajero.
Para qué es genuinamente útil una VPN
Tres cosas, con advertencias honestas.
Privacidad de tu ISP y operador de red. Este es el caso más fuerte. Los ISP en muchos países (EE.UU., Reino Unido, Australia, varios miembros de la UE) pueden recolectar o están obligados a retener metadata de navegación. Los operadores de Wi-Fi de hotel y aeropuerto frecuentemente loguean todo lo que pasa por ahí. Si no quieres que tu ISP construya un perfil de cada dominio que visitas, una VPN mueve esa visibilidad de tu ISP al proveedor VPN, lo que hace que la política de logging del proveedor sea el factor decisivo. Un proveedor sin logs es significativamente más privado que un ISP estadounidense para navegación típica. Un proveedor que loguea en el mismo país que tu ISP es, matemáticamente, ningún upgrade.
Bypass geográfico para casos de uso legítimos. Stream de un servicio que pagas mientras viajas. Leer un sitio de noticias que bloquea tu país. Acceder al sitio bancario de tu país de origen desde el extranjero. Descargar software que el publisher restringió por región. Esto funciona porque los sitios usan geolocalización IP; conéctate por un servidor en la región objetivo y el sitio te trata como si estuvieras ahí. Soportamos 4 regiones de salida hoy: Frankfurt (DE), Helsinki (FI), Chipre (CY) y Ashburn (US-VA). Eso cubre UE-Central, UE-Norte, UE-Sur y EE.UU.-Este. No pretendemos tener la malla global de 60 países que los proveedores más grandes anuncian en sus landing pages.
Seguridad en redes no confiables. Wi-Fi de café, redes de hotel, Wi-Fi de conferencia, aeropuertos. Aunque HTTPS proteja el contenido de tus sesiones, un operador de red hostil todavía puede ver a qué dominios te conectas vía Server Name Indication (SNI), e históricamente podía degradar o interceptar conexiones que no usaban HTTPS estrictamente. Una VPN reduce la visibilidad del operador de red a "bytes encriptados yendo a un servidor". Para viajeros y trabajadores remotos en redes rotativas, este es un beneficio real.
Hay casos de uso menores: hacer bypass de rate-limiting en ciertos sitios, evadir baneos basados en IP, tráfico P2P que algunos ISP throttlean. Son reales pero secundarios.
Cómo difieren los protocolos
Un protocolo VPN es la conversación criptográfica específica que tu cliente tiene con el servidor VPN. La elección de protocolo afecta velocidad, confiabilidad en redes hostiles y qué tan detectable es la conexión. Tres valen la pena conocer.
WireGuard. El protocolo más rápido en uso de producción. Handshake mínimo, ciphers modernos (ChaCha20-Poly1305 para tráfico, X25519 para intercambio de llaves) y un diseño amigable al kernel. Tiempo de conexión bajo un segundo en una ruta caliente. Usa UDP. Fácil de identificar como tráfico VPN si un operador de red inspecciona tamaños de paquete y timing, lo que está bien en la mayoría de las redes pero se marca en algunas. Fexyn envía WireGuard como nuestro protocolo default y lo marca como Bolt.
OpenVPN. El veterano de compatibilidad. Más viejo, más lento y más pesado que WireGuard, pero ha estado desplegado por dos décadas y corre en redes donde protocolos más nuevos tropiezan. Soporta tanto UDP (más rápido) como TCP (más confiable en redes inestables). Handshake basado en TLS, ciphers configurables (AES-256-GCM es el default moderno). Útil como fallback cuando WireGuard está bloqueado o cuando específicamente necesitas transporte TCP. Lo marcamos como Secure.
VLESS Reality. Un protocolo resistente a censura del proyecto XRay. Construido alrededor de imitar TLS 1.3 real a un sitio web real (el objetivo "SNI"). Los operadores de red inspeccionando el tráfico ven lo que parece un handshake TLS a un sitio legítimo popular. Más lento de configurar que WireGuard y más sensible a la configuración, pero sobrevive en entornos donde WireGuard y OpenVPN están bloqueados de plano. Lo marcamos como Stealth y usamos el flujo Vision (xtls-rprx-vision) para tráfico.
No tienes que elegir manualmente. Un buen cliente elige el protocolo correcto para tu red y cae al fallback automáticamente cuando uno falla. El motor de rotación de Fexyn empieza con WireGuard por velocidad, cae a VLESS Reality para redes hostiles y usa OpenVPN como capa de compatibilidad de último recurso.
Modelo de confianza: estás reemplazando a tu ISP por alguien más
Esta es la parte que el marketing de VPN no ama.
Sin VPN: tu ISP ve la metadata de tu actividad (dominios, timestamps, patrones de ancho de banda). Tu ISP está obligado por ley en muchas jurisdicciones a retener esa data por algún período y producirla bajo solicitud legal.
Con VPN: tu ISP ve un túnel encriptado. El proveedor VPN ve la metadata que tu ISP veía antes. Si eso es un upgrade depende de tres preguntas.
¿El proveedor VPN guarda logs que podrían identificarte? Si sí, no mejoraste nada; sólo moviste la data a una empresa distinta. Si no, y esto es verificable, redujiste significativamente quién puede construir un perfil de tu actividad.
¿Cuál es la estructura de incentivos del proveedor? Las VPN gratis tienen que hacer dinero en algún lado. Varias han sido atrapadas logueando y vendiendo data de navegación. Las VPN pagas hacen dinero por suscripciones, lo que es menos corruptor pero no auditable.
¿La afirmación de no-logs está verificada externamente? Un puñado de proveedores ha publicado auditorías de firmas como Cure53, Deloitte, KPMG o PricewaterhouseCoopers. La mayoría no. Fexyn aún no; estamos planeando una auditoría de terceros para 2026. Hasta que ese reporte sea público, nuestra postura de no-logs es operativa y declarada, no verificada externamente. Lo decimos en el registro porque la alternativa es engañarte.
La versión honesta de la propuesta de valor de la VPN es: "somos una parte distinta a tu ISP, con un modelo de negocio distinto y (idealmente) una jurisdicción distinta. Si confías más en nosotros que en ellos, el cambio es un upgrade." Eso es real, pero es más estrecho que "anonimato".
Cuándo no necesitas una VPN
El marketing de VPN tiende a asumir que deberías estar corriendo una 24/7. Eso es exagerado para mucha gente. Salta la VPN cuando:
Estás en una red en la que confías y no estás haciendo nada geo-restringido. Tu red de casa, tu red de oficina, la casa de un amigo. El operador de red eres tú o alguien en quien confías; HTTPS protege el contenido de tus sesiones; la ganancia marginal de privacidad es pequeña. Mucha gente deja su VPN apagada en casa y sólo la prende cuando viaja.
Estás visitando sólo sitios HTTPS y no te importa la metadata. TLS ya encripta el contenido de cada conexión a un sitio web moderno. Tu ISP puede ver el dominio (vía SNI y DNS), pero no lo que lees en él. Si no consideras la lista de dominios sensible, una VPN agrega poco.
No tienes necesidad de bypass geográfico. Si tus servicios de streaming funcionan desde tu país y los sitios de noticias que lees no están bloqueados por región, el beneficio de geo-routing es cero.
Necesitas máximo ancho de banda o mínima latencia. Una VPN agrega un salto y un paso de encriptación. El overhead es pequeño (5-15% en WireGuard, más en OpenVPN) pero real. El gaming online en un servidor lejos de una salida VPN se sentirá peor con la VPN encendida. Las transferencias grandes de archivos son ligeramente más lentas.
Estás usando una VPN para evadir tracking de servicios donde estás logueado. Esto no funciona. Google sabe que eres tú porque escribiste tu contraseña de Google. Amazon sabe que eres tú porque entraste a Amazon. La VPN es invisible para la capa de aplicación.
Un default razonable para la mayoría de la gente: VPN encendida para viajes y redes no confiables, encendida si quieres consistentemente ocultar metadata de navegación de tu ISP, apagada de otra forma. Algunas personas la corren siempre; esa es una decisión de modelo de amenaza personal, no un requisito técnico.
Qué evaluar realmente al elegir una
Si decidiste que quieres una VPN, las preguntas que importan:
Política de logging y estado de auditoría. Lee la política de privacidad. Busca que los logs de conexión, logs de tráfico y logs DNS estén explícitamente ausentes. Busca una auditoría. Si no existe ninguna, baja tu confianza en consecuencia.
Jurisdicción. La membresía en Five Eyes / Nine Eyes / Fourteen Eyes importa como factor secundario después del logging. Un proveedor sin logs en EE.UU. es más privado que un proveedor que loguea en Suiza. Tenemos un post separado sobre jurisdicción; la versión corta es que el logging es la pregunta, la jurisdicción es el modificador.
Conteo de servidores y ubicaciones relevantes para ti. "5,000 servidores en 90 países" es mayormente marketing. Lo que importa es si las ubicaciones que realmente necesitas (tu país, la región de streaming que quieres, una salida de baja latencia para viajes) están cubiertas. Pocos servidores de alta calidad le ganan a muchos de baja calidad.
Kill switch y protección contra filtraciones DNS. Si tu VPN cae, ¿se filtra tu IP real? Un kill switch bloquea todo el tráfico cuando el túnel cae. La protección contra filtraciones DNS rutea cada consulta DNS por el túnel. Ambas deberían ser estándar.
Ventana de reembolso. La mayoría de las VPN de buena reputación ofrecen 7 a 30 días de reembolso. Úsalo. El copy de marketing no es confiable; testear en tus redes reales sí. Fexyn ofrece prueba gratis de 7 días: regístrate, prueba en tu conexión real, decide.
Precios. La infraestructura VPN real cuesta dinero. Una VPN "gratis" te está monetizando de alguna forma, casi siempre por tu data. Los tiers pagos varían ampliamente; las diferencias en sets de funciones son frecuentemente más pequeñas que las diferencias en precio. Nuestros tiers van de $9.99 (mensual) a $2.99 (multi-año) y están listados transparentemente en la página de precios.
Lo principal
Una VPN es una herramienta útil, acotada. Encripta tu tráfico entre tú y un servidor, te deja parecer estar navegando desde otro lado y te protege en redes en las que no confías. No te anonimiza, no detiene trackers, no bloquea phishing y no reemplaza el sentido común.
Si esos tres beneficios (privacidad de ISP, bypass geográfico, seguridad en redes no confiables) se alinean con tus necesidades reales, una VPN vale la pena correr. Si no, estás pagando por una función que no usas. Cualquiera está bien. La elección correcta depende de qué estás haciendo realmente en línea.
FAQ
No. Reemplaza la visibilidad de tu ISP con la visibilidad del proveedor VPN, y cambia la IP que ven los sitios. Tus logins de cuenta, fingerprint de navegador y cookies te siguen identificando a servicios que ya saben quién eres. El anonimato requiere un toolset distinto (Tor, cuentas compartimentalizadas, navegadores hardenizados).
Pueden ver que estás conectado a un servidor VPN (la dirección IP del servidor, los bytes encriptados yendo y viniendo, y el patrón de ancho de banda). No pueden ver qué sitios visitas, qué dominios buscas o qué data está en esas conexiones. Si pueden identificar qué VPN estás usando depende del protocolo — WireGuard y OpenVPN son fácilmente identificables como tráfico VPN; VLESS Reality está diseñado para verse como HTTPS normal.
Probablemente no, a menos que específicamente quieras ocultar metadata de navegación de tu ISP, necesites hacer bypass de una geo-restricción, o tengas un modelo de amenaza de privacidad que incluya tu ISP de casa. La mayoría de la gente corre VPN en redes de viaje y la apaga en casa.
Trata las VPN gratis con escepticismo serio. Operar servidores VPN cuesta dinero. Si no estás pagando, usualmente eres el producto, vía inyección de anuncios, reventa de data de navegación, o peor. Varias VPN gratis han sido atrapadas logueando y vendiendo data de usuarios. Algunas son operadas por entidades en las que no confiarías si supieras quiénes son. El tier gratis de un proveedor pago con prácticas de negocio auditadas es una categoría distinta.
Un poco. WireGuard agrega como 5-10% de overhead en la mayoría de las conexiones. OpenVPN agrega 15-25%. La distancia al servidor VPN agrega latencia proporcional a la distancia. Para navegación, streaming y videollamadas típicos, el overhead es invisible. Para gaming competitivo o transferencias masivas de archivos, es notable.
Sí, con advertencias. Los servicios de streaming tratan activamente de detectar y bloquear IP de salida VPN. Algunas VPN invierten fuerte en trabajo de desbloqueo; otras no. El historial del proveedor en el servicio específico que quieres usar es la señal relevante. Testea la ventana de reembolso antes de comprometerte.
Sí. HTTPS encripta tráfico de extremo a extremo entre tu navegador y el sitio web. La VPN encripta tráfico entre tú y el servidor VPN. Pasada la salida VPN, tu tráfico está en internet regular. Sin HTTPS, el proveedor VPN y cualquier red entre la salida VPN y el sitio puede leer tu tráfico. Los navegadores modernos hacen default a HTTPS para casi todo; verifica el candado para páginas sensibles.
Una VPN tunelea todo el tráfico de tu dispositivo a través de una conexión encriptada a nivel SO. Un proxy usualmente rutea tráfico para una aplicación (típicamente un navegador) y puede no encriptar para nada. Los proxies son más simples y rápidos; las VPN cubren más de tu sistema y agregan encriptación real.
Sí, por cualquier cosa que no dependa de tu IP. Cookies, logins de cuenta, fingerprinting de navegador y señales conductuales todos te trackean sin importar el estado de VPN. La capa de tracking basada en IP cambia; el resto no.
Default a WireGuard (Bolt) por velocidad. Usa VLESS Reality (Stealth) en redes que bloquean VPN (algunos lugares de trabajo, algunos países, algunos ISP). Usa OpenVPN (Secure) cuando infraestructura más vieja o problemas específicos de compatibilidad lo requieran. Fexyn elige automáticamente y cae al fallback cuando uno falla.