Fexyn
Fexyn
All posts

Tu ISP te observa

Fexyn Team··11 min read

Tu proveedor de servicio de internet se sienta entre tú y cada sitio web que visitas. Manejan cada byte dos veces — una a la salida, una al regreso. Saben todo sobre la metadata de tu vida en internet. La mayoría de los usuarios no entiende cuánto.

Esto es lo que ven realmente, lo que están legalmente permitidos a hacer con eso y cómo eso varía por país.

Qué puede ver tu ISP

Tres categorías. Vale la pena entender la distinción.

1. Consultas DNS. Cada vez que escribes un dominio (o haces click en un link), tu computadora le pregunta a un servidor DNS por la IP. La mayoría de los usuarios usan el DNS de su ISP por defecto. El ISP ve cada dominio que buscas — google.com, tu banco, tu perfil de citas, el sitio de síntomas médicos que visitaste a las 3am.

Las consultas DNS son no encriptadas por defecto. Aún si usas un resolver DNS externo (1.1.1.1 de Cloudflare, 8.8.8.8 de Google), el ISP puede ver la IP de destino de esas solicitudes e inferir que son consultas DNS. El DNS encriptado — DNS-over-HTTPS (DoH) o DNS-over-TLS (DoT) — oculta las consultas del ISP, pero la adopción es desigual.

2. SNI en handshakes TLS. Cada conexión HTTPS empieza con un handshake TLS. El campo Server Name Indication (SNI) le dice al servidor a qué hostname se está conectando el cliente — y se manda en plaintext. Así que aún cuando el resto de tu tráfico está encriptado, el ISP ve el hostname de cada sitio que visitas al inicio de cada conexión.

Encrypted Client Hello (ECH) es el estándar que arregla esto. Está siendo desplegado por Cloudflare y soportado por Firefox y Chrome detrás de un flag. La mayoría del tráfico en 2026 todavía tiene SNI en plaintext. El ISP sabe qué sitios visitas aunque no sepa qué lees en ellos.

3. Metadata de conexión. IP de origen (la tuya), IP de destino (la del servidor), timestamps, tamaños de paquetes, patrones de timing de tráfico. De esto, los ISP pueden identificar protocolos (BitTorrent, streaming de video, VoIP), servicios (Netflix vs YouTube vs Zoom por forma de tráfico) y comportamiento (cuándo duermes, cuándo trabajas, qué dispositivos están activos).

Lo que los ISP no pueden ver: el contenido del tráfico encriptado. HTTPS, mensajería encriptada, tu túnel VPN — estos son ilegibles para el ISP. Ven que te conectaste, cuándo, por cuánto tiempo y a qué IP. No qué dijiste.

Qué hacen los ISP con esa data

Tres cosas, aproximadamente en orden de qué tan extendido:

Uso operativo. Planeación de capacidad, gestión de tráfico, manejo de abuso, cumplimiento con aplicación de la ley. Cada ISP hace esto. No es opcional.

Monetización comercial. Vender data de navegación a redes de publicidad, data brokers y firmas de analytics. Si esto está permitido depende del país.

Cumplimiento gubernamental. Retener data por períodos fijos para que las autoridades puedan citarla. Si es obligatorio depende del país.

Estados Unidos: los ISP pueden vender tu data

EE.UU. no tiene ley federal de privacidad comprehensiva. Los ISP están regulados como common carriers bajo el Communications Act, pero las reglas de privacidad de banda ancha de la FCC de 2016 — que habrían requerido a los ISP obtener consentimiento opt-in antes de vender data de navegación — fueron derogadas en marzo de 2017 por el Congreso bajo el Congressional Review Act.

Desde entonces, los ISP estadounidenses han sido legalmente permitidos a vender data de navegación sin consentimiento opt-in. La mayoría de los ISP grandes (Comcast, Verizon, AT&T, T-Mobile, Charter/Spectrum) tienen programas de monetización de data. "Custom Experience" de Verizon e "Internet Preferences" de AT&T son los nombres explícitos; el opt-out existe pero está enterrado en configuraciones de cuenta que la mayoría de los usuarios nunca visita.

Para usuarios estadounidenses, la asunción debería ser: si no has hecho opt-out específicamente, tu ISP está monetizando tu data de navegación. El opt-out existe; encontrarlo toma esfuerzo deliberado.

Reino Unido: 12 meses de retención obligatoria

El Investigatory Powers Act 2016 (la "Snoopers' Charter") requiere a los ISP del Reino Unido retener "registros de conexión a internet" por 12 meses. Los ICR incluyen IP de origen, IP de destino, hora, duración. Las autoridades pueden solicitar acceso sin orden en algunas categorías; con orden, pueden solicitar más detalle.

El IPA también autoriza capacidades de interceptación masiva para los servicios de inteligencia. La Court of Appeal falló partes del acta de 2016 ilegales en 2018; el gobierno no ha reescrito fundamentalmente el framework.

Para usuarios del Reino Unido, la asunción debería ser: hay una ventana rodante de 12 meses de metadata sobre tu actividad de internet sentada en tu ISP, recuperable por varios cuerpos gubernamentales bajo varios niveles de autorización.

Australia: 2 años de retención obligatoria

El Telecommunications (Interception and Access) Amendment (Data Retention) Act 2015 requiere a los ISP australianos retener metadata por 2 años. Origen/destino, hora, duración, información de cuenta, ubicación. Acceso por 21 agencias designadas incluyendo la AFP y ASIO sin orden para la metadata misma.

Australia no tiene ley de privacidad comprehensiva para uso comercial de data de ISP. Los ISP operan bajo el Privacy Act 1988 más reglas específicas de telecomunicaciones; el framework ha sido criticado por sub-proteger a los usuarios.

Rusia: SORM acceso en tiempo real

Rusia opera el Sistema Operativno-Rozysknykh Meropriyatii (SORM) — equipo instalado en cada ISP ruso desde SORM-2 (1995). El FSB tiene acceso directo en tiempo real al tráfico de internet ruso sin que se le muestre una orden judicial al ISP.

Las leyes Yarovaya (2016, expandidas 2019) requieren a los ISP y servicios de mensajería retener metadata de usuario por 6 meses y contenido por hasta 6 meses, y proveer llaves de descifrado a los servicios de seguridad bajo solicitud.

Para usuarios rusos, la asunción debería ser: cada ISP doméstico es un pipeline de vigilancia directo. Una VPN a una salida no rusa mueve la pregunta de vigilancia de "qué puede ver el FSB directamente" a "qué permite la jurisdicción del proveedor VPN".

Unión Europea: GDPR limita, pero retención de data varía

El General Data Protection Regulation (GDPR) limita el uso comercial de data personal, incluyendo data de navegación de ISP, más estrictamente que la ley estadounidense. Los ISP no pueden vender data de navegación sin consentimiento explícito.

La retención obligatoria de data para fines de aplicación de la ley es más complicada. La Data Retention Directive de 2006 fue invalidada por el European Court of Justice en 2014 (caso Digital Rights Ireland) por ser demasiado amplia. Los estados miembros han implementado sus propias leyes de retención desde entonces, con grados variables de desafío en corte. La ley de retención de Alemania también fue invalidada en 2010.

El estado actual varía por miembro de la UE: Francia retiene por 1 año, Italia por períodos variables, los Países Bajos han sido empujados de regímenes de retención anteriores por fallos de corte. La dirección general ha sido hacia retención más restrictiva que el modelo EE.UU./Reino Unido/Australia.

Otros casos notables

China. El tráfico de internet rutea por infraestructura mandatada por el estado con monitoreo comprehensivo. Los ISP son extensiones directas de la vigilancia estatal. El Great Firewall provee la capa de filtrado; la capa de monitoreo es más amplia.

Irán. Monitoreo comprehensivo a nivel ISP bajo el Cyberspace Supreme Council y el Filtering Committee. Procesamientos documentados de disidentes usando metadata a nivel ISP.

Singapur. El PDPA limita el uso comercial; el Computer Misuse Act y varias otras leyes autorizan acceso investigatorio amplio.

Mayor parte de Latinoamérica y África. Retención obligatoria menos formal; la monetización comercial de data de ISP varía; el acceso gubernamental varía enormemente por entorno político.

Qué cambia realmente una VPN

Una VPN encripta la conexión entre tu dispositivo y el proveedor VPN. Desde la perspectiva del ISP, todo tu tráfico se vuelve un solo túnel encriptado a una IP — el servidor de salida del proveedor VPN.

Lo que el ISP ve con VPN activa:

  • Origen: tu IP
  • Destino: la IP de salida del proveedor VPN
  • Volumen: cuánta data fluyó por el túnel
  • Duración: cuándo el túnel estuvo arriba

Lo que el ISP no ve:

  • Qué sitios visitaste (sin SNI, sin consultas DNS filtrándose)
  • Qué protocolos usaste (BitTorrent, streaming, gaming todos se ven igual)
  • Qué escribiste, viste o descargaste

Esto cambia la pregunta de confianza. En vez de confiar en tu ISP, estás confiando en tu proveedor VPN. El proveedor VPN puede ver lo que tu ISP veía antes: tus consultas DNS, tu SNI, tus destinos. Las preguntas relevantes se vuelven:

  • ¿El proveedor VPN loguea esta data? Un proveedor genuinamente sin logs no.
  • ¿En qué jurisdicción está el proveedor VPN? Algunas jurisdicciones pueden compelir logs.
  • ¿La afirmación de no-logs ha sido verificada independientemente? Existen auditorías para algunos proveedores.
  • ¿Cuál es el rastro de pago? El pago en cripto limita el vínculo entre tu cuenta y tu identidad real.

Una VPN no elimina la confianza. La mueve. Si el cambio vale la pena depende de si tu proveedor VPN es genuinamente más confiable que tu ISP para tu modelo de amenaza específico.

Lo que una VPN no cambia

Vale ser honestos:

  • Los servicios donde estás logueado siguen sabiendo quién eres. Google, Facebook, tu banco — te identifican por login, no por IP. Una VPN no te anonimiza a servicios donde estás dentro.
  • El fingerprinting de navegador sigue funcionando. Píxeles de tracking, cookies, características del navegador todos te siguen identificando entre sitios. Una VPN es una herramienta de privacidad de capa de red, no de capa de aplicación.
  • Tu red local sigue siendo tu red local. Cualquiera en tu Wi-Fi de casa ve tus consultas DNS antes de pegar al túnel VPN (depende de la configuración). El kill switch importa aquí.

Para la mayoría de los usuarios, el alcance relevante de la VPN es: el ISP no puede ver tu actividad. Eso es lo que la mayoría de los usuarios quiere, y eso es lo que entrega una VPN.

Dónde encaja Fexyn

Somos un proveedor de VPN. Estamos sesgados sobre si deberías usar una VPN — las vendemos. Somos honestos sobre lo que podemos y no podemos ofrecer:

  • Sin logs de historial de navegación, sin logs de consultas DNS, sin logs de contenido de tráfico
  • Pago en cripto como opción para usuarios que quieren vínculo mínimo cuenta-a-identidad
  • Jurisdicción Wyoming (EE.UU.) — reconocemos que esto es Five Eyes; la estructura no-logs es la mitigación
  • Kill switch a nivel kernel basado en WFP en Windows para que las consultas DNS nunca se filtren alrededor del túnel
  • VLESS Reality con flujo Vision para usuarios en países donde los protocolos VPN estándar están bloqueados

Aún no hemos completado una auditoría independiente de terceros. Planeada para 2026. Para usuarios que requieren validación de terceros hoy, ProtonVPN y Mullvad tienen afirmaciones auditadas actuales que aún no igualamos. Lo decimos abiertamente.

Preguntas frecuentes

¿Mi ISP puede ver lo que hago en sitios HTTPS?

Parcialmente. Ven el hostname (vía SNI), la IP de destino, patrones de tráfico. No ven los contenidos de la página. Encrypted Client Hello (ECH) está siendo desplegado para arreglar la parte del SNI; la mayoría del tráfico en 2026 todavía filtra SNI.

¿Mi ISP puede ver lo que hago sobre VPN?

No, más allá de la existencia del túnel VPN mismo. Ven tráfico encriptado a la IP del proveedor VPN. No ven lo que está adentro.

¿Mi ISP puede bloquear el uso de VPN?

Algunos lo intentan. La mayoría no. Los ISP en países con mucha censura (China, Irán, Rusia, EAU) bloquean activamente protocolos VPN conocidos. Los ISP en la mayoría de las democracias no bloquean tráfico VPN, aunque algunos lo throttlean durante disputas de peering o congestión.

¿Mi ISP vende mi data?

En EE.UU., probablemente sí a menos que hayas hecho opt-out específicamente. En Reino Unido y Australia, menos uso comercial pero retención obligatoria de acceso gubernamental. En la UE, GDPR limita el uso comercial. Las especificidades por país varían.

¿Debería usar una VPN en casa?

Si te importa la visibilidad del ISP en tu navegación, sí. Si no, no necesitas una por razones de privacidad de ISP. Puede haber otras razones (bypass geográfico, protección en Wi-Fi público al viajar, evasión de censura) que aplican o no a ti.

Prueba Fexyn gratis 7 días — sin tarjeta requerida para la prueba. La entrada política de no-logs cubre lo que "no-logs" realmente significa; el artículo de data brokers cubre lo que pasa con la data del ISP después de recolectarla.

Última revisión 2026-05-09.

Tu ISP te observa | Fexyn VPN