Fexyn
Fexyn
All posts

Lo que tu ISP puede realmente ver sin VPN

Fexyn Team··8 min read

Tu proveedor de servicio de internet se sienta entre tú y todo lo demás en internet. Cada paquete que tu laptop manda cruza su red. Ven todo eso — pero con HTTPS ahora cubriendo la mayor parte de la web, "ver todo" es más matizado que antes. Aquí está la versión precisa.

Qué puede ver tu ISP en 2026

Cada consulta DNS que haces

Cuando escribes ejemplo.com en tu navegador, tu computadora primero le pregunta a un servidor DNS "¿cuál es la IP de ejemplo.com?" Sin una VPN o DNS-over-HTTPS, esa pregunta viaja en cleartext al resolver DNS de tu ISP. Tu ISP ve:

  • El dominio que estás buscando
  • La hora exacta en que lo buscaste
  • La frecuencia con que lo buscas
  • Si lo has buscado antes

Los ISP generalmente retienen logs de consultas DNS. El período de retención varía por jurisdicción y por ISP, pero el logging por defecto es la regla, no la excepción.

Cada dominio que visitas, incluso por HTTPS

HTTPS encripta los contenidos de tu tráfico pero no el destino. El handshake TLS incluye un campo de Server Name Indication (SNI), un header en cleartext que dice "quiero conectarme a www.ejemplo.com" para que el servidor sepa qué certificado servir. SNI es necesario; múltiples sitios comparten direcciones IP en hosting compartido, y el servidor necesita saber cuál quieres.

Ese SNI es visible para cualquiera mirando el cable, incluyendo tu ISP. Aún con HTTPS completo, tu ISP sabe exactamente qué sitios visitas, sólo no qué haces en esos sitios.

Algunos navegadores soportan Encrypted SNI (ESNI) y Encrypted Client Hello (ECH), pero el soporte es parcheado y el filtrado del lado del ISP atrapa muchos casos límite. En la práctica, el SNI es visible para tu ISP hoy.

Metadata de conexión

Tu ISP ve:

  • IP de origen y destino. Conocen tu IP (la asignaron) y la IP de destino para cada conexión.
  • Protocolo y puerto. Si estás usando HTTP, HTTPS, SSH, RDP, BitTorrent, una VPN, etc. Usualmente pueden identificar el protocolo desde patrones de paquetes incluso si cambias el puerto.
  • Timing. Cuándo pasan las conexiones, cuánto duran, qué tan frecuentemente recurren.
  • Volumen de data. Cuánto mandaste y recibiste en cada dirección.

Combinados, son suficiente para construir una imagen detallada. Los ISP saben cuándo estás stremeando video, cuándo estás en videollamada, cuándo estás descargando archivos grandes y aproximadamente qué servicios usas.

Qué es realmente privado sin VPN

Dentro de una sesión HTTPS, tu ISP no puede ver:

  • La ruta URL completa (sólo el dominio)
  • Contenido de página
  • Envíos de formularios
  • Cookies
  • Solicitudes API dentro de la página

Así que saben que visitaste un sitio bancario, pero no qué página. Saben que usaste una app de chat, pero no con quién hablaste o qué dijiste. Ese es el piso de lo que provee HTTPS.

Qué hacen realmente los ISP con esta data

Venderla a anunciantes

En EE.UU., las reglas de privacidad de banda ancha de la FCC fueron derogadas en 2017. Los ISP pueden vender tu historial de navegación a anunciantes sin consentimiento explícito, y varios lo hacen. Verizon, AT&T y Comcast todos han corrido programas de publicidad dirigida que usan data de navegación a nivel ISP. La data está "anonimizada" antes de la venta, pero la anonimización de data de navegación ha sido demostrada como reversible en investigación tras investigación.

En Reino Unido, los ISP están obligados a retener registros de conexión por 12 meses bajo el Investigatory Powers Act y hacerlos disponibles a agencias gubernamentales bajo solicitud. La retención es obligatoria; el acceso no se anuncia pero está bien documentado en reportes de transparencia.

En la UE, GDPR provee protecciones de consumidor más fuertes, pero los ISP todavía retienen logs operativos y responden a solicitudes de aplicación de la ley bajo legislación nacional que varía por estado miembro.

Throttlear tráfico específico

Los ISP priorizan algo de tráfico sobre otro. Los objetivos más comunes:

  • BitTorrent y otro P2P
  • Streaming de video durante horas pico, especialmente en planes de tier más bajo
  • Tráfico de gaming en planes de consumidor, a veces
  • Cualquier cosa que reconozcan como un servicio competidor (ej. un ISP que es dueño de un servicio de video puede throttlear Netflix)

Esto es técnicamente violar net neutrality donde aplica net neutrality, y técnicamente legal donde no. En EE.UU., el throttling es legal mientras se declare; muchos ISP lo declaran en letra chica y asumen que no la leerás. El mecanismo está cubierto en qué es throttling de ISP.

Cumplir con solicitudes gubernamentales

Las solicitudes de la policía por registros del ISP son rutinarias. Los países Five Eyes (EE.UU., Reino Unido, Canadá, Australia, Nueva Zelanda) comparten inteligencia incluyendo metadata de comunicaciones. El volumen de solicitudes está en cientos de miles por año por ISP grande. La mayoría se procesan sin desafío.

Una citación, orden de registro o NSL (en EE.UU.) deja a la policía obtener tus registros de suscriptor, historial de asignación de IP, logs de conexión y logs de consultas DNS de tu ISP. No necesitan entrar a tu computadora; pueden preguntarle al ISP.

Inyectar anuncios (menos común ahora, todavía pasa)

Antes de HTTPS-en-todos-lados, algunos ISP inyectaban anuncios en respuestas HTTP. AT&T y varios ISP más pequeños fueron atrapados haciendo esto a inicios de los 2010s. La práctica es más rara ahora porque la mayoría de las páginas son HTTPS, pero todavía pasa en los bordes en cleartext (respuestas DNS redirigiendo a páginas de "asistencia de búsqueda", por ejemplo).

Cómo cambia el panorama una VPN

Una VPN encripta todo entre tu dispositivo y el servidor VPN. Tu ISP ve:

  • Un túnel encriptado a una sola IP (el servidor VPN)
  • El protocolo y puerto del túnel
  • Cuánta data mandaste
  • Cuánto duró el túnel arriba

No ven:

  • Qué sitios visitaste
  • Consultas DNS (esas pasan dentro del túnel, resueltas por el DNS de la VPN)
  • El contenido de cualquier tráfico
  • Los destinos que alcanzaste después del servidor VPN

Saben que estás usando una VPN. Saben cuánto ancho de banda consumió tu VPN. No saben qué hiciste con él.

Esto elimina las preocupaciones de vigilancia y traffic-shaping a nivel ISP. Mueve la confianza del ISP al proveedor VPN — por lo cual la política de logging del proveedor VPN importa. Una VPN que loguea todo es sólo un ISP distinto con jurisdicción distinta.

Fexyn no loguea historial de navegación, consultas DNS o contenido de tráfico. Ese es el compromiso preciso, con la letra chica detallada.

VLESS Reality va un paso más allá

Una VPN estándar le dice a tu ISP "estás usando una VPN" por el patrón de protocolo. Los paquetes WireGuard parecen WireGuard. Los paquetes OpenVPN parecen OpenVPN. El ISP sabe que estás tuneleando, aunque no sepan qué.

VLESS Reality con el flujo Vision (Fexyn Stealth) es distinto. Establece una conexión TLS 1.3 real a un sitio bien conocido como microsoft.com. Para el ISP, el tráfico parece una sesión HTTPS a microsoft.com. Mismo SNI, certificado real de una CA real, perfil de ancho de banda plausible.

En países donde "usar una VPN" es ya una marca, esto importa. El ISP no puede saber que estás tuneleando sin falsamente bloquear tráfico a sitios públicos legítimos.

Cómo funciona VLESS Reality · Por qué esto importa bajo DPI

La puerta lateral de filtración DNS

Una VPN que no tunelea completamente tus consultas DNS deja abierta una puerta lateral. Aún con el túnel arriba, las consultas DNS pueden filtrarse a tu ISP por atajos a nivel SO (Smart Multi-Homed Name Resolution en Windows, rutas de fallback IPv6, consultas mapeadas IPv4). Tu ISP entonces ve los dominios que estás visitando vía DNS, aunque el túnel oculte todo lo demás.

Testea filtraciones DNS sin importar qué VPN uses. Si aparecen filtraciones, arréglalas.

Fexyn fuerza todo el DNS por el túnel usando reglas NRPT a nivel SO más configuración DNS por protocolo. La combinación elimina las rutas comunes de filtración.

Relacionado

Prueba Fexyn gratis 7 días. Tu ISP sigue viéndote en línea; deja de ver lo que estás haciendo.

Lo que tu ISP puede realmente ver sin VPN | Fexyn VPN