En Internet siempre hay un intermediario silencioso por el que pasa todo: tu proveedor de servicios de Internet. Ese ISP es la puerta de entrada por donde circula lo que ves, descargas y usas, tanto en casa como en el móvil. Además de darte conexión, suelen gestionar DNS, alojar correo y hasta vender otros servicios en la nube.
Como la conexión funciona, la mayoría se olvida del ISP. Pero casi todo el tráfico atraviesa su infraestructura, así que conviene saber qué pueden ver, qué se les escapa con las tecnologías modernas y cómo cambia el panorama cuando activas una VPN en Windows. Aquí te lo explicamos con detalle, con ejemplos, alternativas y recomendaciones prácticas.
Qué ve tu ISP cuando no usas una VPN
Sin una VPN, el ISP está en medio de casi todo lo que haces online. Aunque HTTPS ha mejorado mucho la privacidad, todavía hay más datos expuestos de lo que parece: dominios que consultas, IPs de servicios a los que te conectas y metadatos de tus sesiones.
Navegación web: DNS, HTTPS y la pista del nombre de dominio
Cuando escribes una URL, tu equipo resuelve primero el nombre del sitio a una IP con DNS. Si no usas DNS cifrado, esa consulta viaja en claro y el ISP ve los dominios que buscas (ejemplo.com), aunque no la ruta exacta (ejemplo.com/pagina-privada). Navegadores como Chrome y Firefox activaron DNS-over-HTTPS como opción por defecto en 2020, reduciendo esa filtración.
Después llega el protocolo de enlace TLS de HTTPS. La fase inicial del handshake aún deja huellas: el nombre del servidor (SNI) puede ir visible en el mensaje Client Hello. El estándar ECH (Encrypted Client Hello) cifra ese dato y ya está integrado en Firefox 119 y Chrome 117, pero requiere soporte del sitio y suele desplegarse con CDNs, así que su cobertura no es total.
Aplicaciones y juegos: direcciones IP que hablan de ti
Las apps y juegos se conectan a IPs de servicios concretos. El ISP ve a qué IP te conectas y con qué frecuencia, lo que suele ser más revelador que en la web: son IPs menos compartidas, asociadas a marcas y con patrones de uso persistentes en segundo plano. Sin VPN, ese mapa de conexiones perfila hábitos con bastante precisión.
Con una VPN, el panorama cambia: todo el tráfico sale hacia un único servidor VPN y tu ISP deja de ver esos destinos individuales, perdiendo visibilidad sobre qué servicios concretos utilizas.
Metadatos: tiempos, tamaños y ataques por correlación
Más allá del contenido, quedan los metadatos: marcas de tiempo, duración de sesiones y volúmenes. En manos de un ISP o de un tercero con recursos, esos datos permiten correlacionar quién eras, cuándo te conectaste y a qué podrías haber accedido. En algunos países los ISP pueden comercializar historiales no vinculados “directamente” a tu nombre, pero la reidentificación es factible.
Imagina que publicas un comentario anónimo en una plataforma con servidores en otro país. Si tu gobierno presiona a tu ISP, puede obtener los metadatos y acotar ventanas temporales, tráfico y usuarios activos hasta perfilarte. El contenido cifrado resiste, pero los metadatos cuentan historias.
Qué cambia con una VPN (y qué no)
Con una VPN, tu dispositivo cifra el tráfico y lo envía a un servidor remoto, que luego lo reenvía al destino final. El ISP ya no ve webs ni apps concretas, solo una conexión cifrada hacia la IP del servidor VPN. También pierde precisión en los metadatos de volumen y tiempo.
Ahora bien, no todo desaparece. Tu ISP seguirá viendo: la IP del servidor VPN al que te conectas, la hora y duración de esa conexión, cuánto tráfico mueves y, en muchos casos, el puerto/protocolo usado (por ejemplo, 1194 para OpenVPN o 51820 para WireGuard). Si ese rango IP pertenece a un proveedor conocido, deducirá que usas VPN.
¿Por qué te conviene ocultar tus datos al ISP?
Hay tres motivos claros. Primero, la posible limitación de velocidad en función del tipo de tráfico (streaming, descargas) o en horas punta, incluso cumpliendo tu plan. Segundo, la monetización de datos en países que lo permiten. Tercero, la censura: bloqueo de sitios o servicios por normativa o políticas locales.
Los cambios regulatorios sobre neutralidad de la red pueden mover esta frontera. Cuanto más poder tenga el ISP sobre la conexión, más valor aporta reducir su visibilidad técnica sobre lo que haces.
Cómo detecta un ISP que usas VPN
Los indicios típicos son conocidos. IPs de proveedores de VPN, cifrado constante y patrones de intercambio, además de puertos frecuentes de ciertos protocolos. Con inspección profunda de paquetes (DPI), algunos ISP reconocen firmas de protocolos VPN sin descifrar el contenido.
IPs y puertos característicos
Si el destino es una IP registrada por un servicio VPN, salta la pista. Además, puertos como 1194 (OpenVPN) o 51820 (WireGuard) apuntan al uso de túneles. El ISP ve el origen (tú) y ese destino (VPN), pero no a dónde va el tráfico después.
DPI: mirar la forma del tráfico
La inspección profunda no lee el contenido cifrado, pero sí puede reconocer patrones: agrupación de paquetes, tamaños y cadencias propias de un túnel VPN. Es un “perfil” técnico que clasifica tu conexión como VPN sin revelar las páginas visitadas.
Alternativas y complementos a las VPN
No todo es VPN. Hay otras capas que reducen la huella ante tu proveedor, aunque ninguna por sí sola sustituye a un túnel completo.
Tor
Encamina el tráfico por al menos tres nodos voluntarios y añade varias capas de cifrado. El ISP ve que usas Tor, pero no el destino final. Como contrapartida, suele resultar lento para algo más que navegación básica, y necesitas usar el Navegador Tor.
Proxy
Un proxy oculta tu IP real hacia las webs, pero no cifra el tráfico. Tu ISP puede seguir viendo la mayor parte de lo que haces, así que sirve para sortear restricciones simples, no para privacidad fuerte.
DNS cifrado (DoH/DoT)
Cifra las consultas de nombres de dominio para que el ISP no vea qué dominios resuelves. Reduce filtraciones de DNS, pero no oculta el resto del tráfico. Con VPN, muchos proveedores ya usan su propio DNS; mezclar DNS de terceros añade nuevas entidades en las que confiar.
ECH (Encrypted Client Hello)
Evita que el nombre del servidor (SNI) quede visible al inicio de TLS. Firefox y Chrome ya lo incluyen, pero hace falta que el sitio también lo soporte, a menudo con CDN. Completa a DoH; no lo reemplaza.
Navegación privada vs VPN: qué hace cada una
El modo incógnito/InPrivate evita que tu navegador guarde historial, búsquedas o cookies locales. No impide que el ISP o terceros vean tu tráfico en la red. Además, extensiones o APIs web pueden filtrar datos incluso en ventanas privadas si no están bien configuradas.
La VPN, en cambio, cifra la conexión completa entre tu dispositivo y el servidor VPN. Oculta tu IP real a las webs, dificulta el rastreo entre redes públicas y evita que el ISP vea tu actividad concreta. Eso sí: no te inmuniza frente a malware ni te hace invisible si inicias sesión en tus cuentas.
Qué no hace una VPN (y por qué importan los hábitos)
Una VPN no sustituye al antivirus ni al sentido común. Seguimos expuestos a troyanos, spyware o phishing si descargamos o pinchamos en lo que no toca. Tampoco evita que las cookies o la huella digital del navegador te identifiquen entre sitios si mantienes sesiones activas.
Además, el tramo entre el servidor VPN y la web puede ir sin cifrar si la página solo ofrece HTTP. Activa el modo “solo HTTPS” en tu navegador cuando sea posible para impedir degradaciones, y usa bloqueadores/antirrastreadores.
Elegir bien una VPN: en qué fijarte
No todas las VPN son iguales. Busca política de no registros con auditorías independientes y transparencia técnica. Las promesas vacías valen poco si no han sido verificadas.
- Ofuscación para camuflar el túnel como tráfico web normal, útil donde bloquean VPN.
- Rendimiento y estabilidad con protocolos modernos y código ligero (hay implementaciones diseñadas para reconectar rápido y consumir menos batería).
- Función de corte (kill switch) para bloquear tráfico si cae el túnel.
- Autenticación reforzada (MFA) para tu cuenta del servicio.
- Protecciones anti-fugas de DNS/IP y servidores que no escriban a disco (solo RAM).
Desconfía de “gratis para siempre”. Muchas gratuitas registran o inyectan anuncios y rastreadores; un análisis llegó a detectar decenas de servicios populares con retención de datos. Si pagas, pagas el servicio; si no, quizá el producto seas tú.
Tipos de VPN y cómo instalarlas
Hay varias arquitecturas. La de acceso remoto es la típica comercial: te conectas a un servidor y sales a Internet como si estuvieras en otra red. Para empresas, se usan también VPN de sitio a sitio entre sedes.
Otra variante es “cliente a proveedor”, donde te conectas directamente al proveedor que te da Internet a través del túnel. Se ve en Wi-Fi públicas seguras para que el operador no pueda espiar ni manipular tráfico sin cifrar.
Para instalar, tienes opciones. Cliente independiente (la app del proveedor), extensión de navegador (más limitada y potencialmente vulnerable), enrutador (protege toda la casa, ideal para Smart TV) o despliegues corporativos a medida.
¿Cuánto cuesta? Depende del plan. Las gratuitas suelen recortar seguridad y prestaciones. Elige soporte 24/7 si dependes de la conexión y verifica qué datos de pago o personales guardan.
Tor y VPN: juntos o por separado
Usar Tor con VPN puede tener sentido según tu amenaza. Si tu adversario no puede presionar al proveedor de VPN, quizá baste con el túnel clásico. Si usas Tor, suele ser preferible conectar al navegador Tor desde tu equipo, no a “nodos Tor” integrados en la VPN del proveedor.
¿Por qué? Porque confiar en nodos Tor gestionados por tu propio proveedor anula una ventaja clave de Tor: la separación de confianza entre actores distintos. Además, Tor solo maneja TCP; otros protocolos (UDP/ICMP) no pasarán, y el proveedor podría rutearlos fuera de Tor sin que lo controles.
DNS cifrado cuando ya usas VPN
Si tu VPN resuelve DNS en sus propios servidores, añadir DoH/DoT de terceros aporta poco y suma más actores en la cadena de confianza. Puedes activarlo si quieres funciones extra del navegador (como ECH), pero no esperes milagros frente a lo que ya consigue el túnel.
La protección frente a “spoofing” de DNS está cubierta en gran medida por HTTPS: los certificados TLS detectan alteraciones. Si un sitio no usa HTTPS, hay otras formas de manipulación más allá del DNS que te dejarían igual de expuesto.
Alternativas modernas: relés multiparte y dVPN
Hay servicios que reparten la confianza entre varios actores (repetidores multiparte). iCloud Private Relay, por ejemplo, separa en dos: Apple ve tu IP pero no el destino; la CDN ve el destino, no tu IP. Funciona bien para navegación, no para todo el tráfico.
Las dVPN prometen descentralización basada en blockchain, pero a menudo terminas confiando en un único nodo operado por cualquiera, con menos garantías legales que un proveedor auditado. Sumemos redes pequeñas, potencial de ataques Sybil y líos de responsabilidad para los nodos de salida.
Windows: ajustes rápidos que ayudan
En Windows 10/11 puedes cambiar el DNS en Configuración > Red e Internet. Selecciona tu adaptador (Ethernet o Wi‑Fi), entra en Propiedades y personaliza DNS (IPv4/IPv6). Hazlo en el router si quieres que afecte a todos los dispositivos de casa.
Para usar la VPN, instala el cliente oficial o configura un perfil en Ajustes > Red e Internet > VPN. Activa el interruptor de emergencia si tu proveedor lo ofrece y revisa que no haya fugas de DNS/WebRTC con pruebas online.
La VPN reduce al mínimo lo que puede ver tu ISP (y a menudo evita bloqueos, censura o limitaciones), pero no es una varita mágica; combínala con HTTPS, buenos hábitos, antirrastreadores y sentido común, elige proveedores auditados y actívala también en Windows cuando te conectes a redes públicas o uses apps que revelan demasiado por sus patrones.
