La versión corta: existen tres categorías honestas de VPN «gratuita». (1) Nivel gratuito limitado de un proveedor de pago real (Proton, Windscribe, TunnelBear) — subvencionado por clientes de pago, deliberadamente limitado para que los usuarios intensivos actualicen, modelo de negocio directo. (2) VPN gratuita para un propósito concreto (corporativa, universitaria, integrada en otro producto) — pagada por una entidad que quiere tenerte en su red, cuyo modelo de negocio es el del producto principal. (3) VPN gratuita como monetización — el propio proveedor de VPN ES el negocio, y te monetiza a ti. Esa tercera categoría es donde han vivido históricamente los daños documentados: modelos de botnet que usan tu dispositivo como nodo de salida, reventa a intermediarios de datos, inyección de publicidad, instalación de malware. Las dos primeras pueden estar bien. La tercera ha generado la mayoría de los titulares sobre «¿es seguro usar una VPN?». Esta es la guía de campo para distinguirlas.
Aclaración previa: Casper's Cloak es un servicio VPN de pago. Tenemos un interés comercial en este tema. Por eso este artículo se centra en incidentes históricos verificables y documentados — hechos que puedes contrastar con fuentes originales — en lugar de advertencias vagas del tipo «lo gratuito es malo». El objetivo no es alejarte de las VPN gratuitas, sino ayudarte a elegir una cuyo modelo de negocio entiendas de verdad.
Lo que «gratuito» le cuesta realmente al proveedor
Cifras concretas, ya que en esto se basa el resto del análisis. Un proveedor de VPN modesto con 1.000 servidores en 30 países paga:
- Alojamiento de servidores: 40–150 $/servidor/mes según la región (Europa Occidental y US-East barato; APAC, Latinoamérica, África caro) → 40.000–150.000 $/mes como mínimo.
- Ancho de banda: el coste dominante. Un nodo de salida VPN mueve más tráfico que casi cualquier otra carga de trabajo — el usuario típico consume 50–200 GB/mes, y los proveedores operan a más del 80% de utilización. Las facturas de ancho de banda eclipsan a las de servidores a escala.
- Gestión de abusos: el trabajo a tiempo completo de alguien es responder a notificaciones DMCA, reclamaciones de abuso de los proveedores de alojamiento, preguntas de procesadores de pago y alguna que otra carta de las fuerzas del orden. No es opcional y se vuelve costoso a escala.
- Ingeniería: mantenimiento de la pila de protocolos (WireGuard, OpenVPN), aplicaciones cliente para iOS/macOS/Windows/Linux/Android, auditorías, respuesta a incidentes de seguridad.
Para que un proveedor opere más de 1.000 servidores, tenga un equipo de operaciones real, se someta a auditorías anuales y cobre 0 $ — el dinero tiene que venir de algún sitio. La pregunta honesta es: ¿de dónde? Los tres patrones siguientes cubren prácticamente todo lo que hemos documentado en el mundo real.
Patrón 1 — Nivel gratuito limitado de un proveedor de pago (generalmente aceptable)
La versión más limpia. El proveedor vende un producto de pago a la mayoría de sus usuarios y ofrece un nivel gratuito deliberadamente limitado como embudo de marketing. Los límites suelen tomar una de estas tres formas:
- Límite de ancho de banda (Windscribe: 10 GB/mes gratis; TunnelBear: 2 GB/mes gratis). Los usuarios intensivos alcanzan el límite y hacen upgrade, o dejan de usar el servicio. Los usuarios gratuitos le cuestan al proveedor menos de lo que valen como embudo.
- Límite de ubicaciones de servidores (Proton Free: 3 países; ProtonVPN Plus: más de 110). El nivel gratuito es suficiente para «quiero cifrar el tráfico en una red WiFi de cafetería»; el nivel de pago es necesario para casos de uso de streaming desde otros países.
- Límite de funciones (sin streaming, sin torrents, menos conexiones simultáneas). Misma lógica que los límites de servidores.
Cómo verificar que el proveedor pertenece a esta categoría: (a) tiene un nivel de pago obvio y transparente con clientes reales (mira el número de valoraciones en la tienda de aplicaciones, no solo la nota); (b) su política de privacidad es clara respecto a no registrar ni vender datos de tráfico, e idealmente ha publicado una auditoría externa que lo confirma; (c) es una empresa real con directivos identificados y una jurisdicción conocida; (d) obtiene la mayor parte de sus ingresos de suscripciones de pago, algo que suelen revelar en sus materiales de marketing.
Patrón 2 — VPN gratuita para un propósito concreto (depende del propósito)
Gratuita porque otra entidad quiere que la uses. Tres subcasos:
VPN integradas en navegadores (Opera VPN, Brave Firewall + VPN, Cloudflare WARP). La empresa matriz tiene un modelo de negocio diferente — vender publicidad, servicios empresariales, DNS — y la VPN existe para diferenciar el navegador. Suelen ser honestas sobre su alcance: Opera VPN es un proxy cifrado gratuito, no una VPN real (solo protege el tráfico del navegador), y así lo indica. Cloudflare WARP está financiada por el negocio CDN empresarial de Cloudflare y es probablemente el servicio de red gratuito más auditado del mundo.
iCloud Private Relay de Apple entra en esta categoría — viene incluido con iCloud+, así que técnicamente no es «gratuito» en sentido estricto, pero es gratuito al margen si ya pagas por almacenamiento de iCloud. Además, es exclusivo de Safari, usa doble salto y no es explícitamente una VPN de propósito general. Cubrimos el alcance en detalle en Qué cubre realmente iCloud Private Relay — y qué no.
VPN corporativas o universitarias. Gratuitas para ti porque la institución paga. Honestas al respecto. Úsalas para lo que están diseñadas (acceder a recursos de la institución), no las uses para privacidad personal (la institución puede ver todo tu tráfico por diseño).
Cómo verificarlo: lee la política de privacidad y observa el modelo de negocio principal de la empresa matriz. Si el negocio principal es publicidad en el navegador (Opera) o CDN empresarial (Cloudflare), los incentivos de la VPN están alineados con no arruinarlo — un escándalo de VPN dañaría el negocio más rentable.
Patrón 3 — VPN gratuita como monetización (donde han vivido los daños documentados)
Esta es la categoría sobre la que tratan en realidad todos los artículos de «¿es arriesgado usar una VPN?». El proveedor de VPN no tiene otro negocio; la VPN ES el negocio; el usuario ES el ingreso. Tres mecanismos históricos documentados:
3a. Dispositivo como nodo de salida (el modelo Hola / Luminati)
Hola, comercializada como una VPN gratuita para saltarse el geobloqueo en el navegador, consiguió millones de usuarios a principios de los años 2010. El modelo de negocio — divulgado en los términos del servicio, pero de la manera en que «divulgado en los términos del servicio» normalmente significa — era que tu dispositivo servía como nodo de salida para Luminati (ahora Bright Data), la red de proxies comerciales de Hola. Los clientes empresariales de pago enrutaban su tráfico a través de las IPs residenciales de los usuarios gratuitos de Hola.
Las consecuencias, bien documentadas: en 2015, investigadores de seguridad demostraron que los usuarios de Hola habían sido utilizados como nodos de salida para una botnet de DDoS de 8chan — lo que significa que las IPs de los usuarios de Hola originaron tráfico de ataque del que no tenían ni idea de que estaban enviando. La red Luminati se ha rebautizado desde entonces, ha añadido flujos de consentimiento y continúa operando; el modelo sigue siendo básicamente el mismo.
Cómo detectarlo: el proveedor habla vagamente de arquitectura «peer-to-peer» o red «impulsada por la comunidad». Sus términos del servicio describen un «derecho a usar el ancho de banda de dispositivos inactivos». Vende un producto de proxy comercial de pago junto al producto gratuito para consumidores, y son la misma red.
3b. Reventa a intermediarios de datos (el modelo Onavo / Facebook)
Onavo Protect era una aplicación VPN gratuita — Facebook compró la empresa matriz en 2013 y la operó como «Onavo Protect» en iOS y Android. La política de privacidad revelaba que Facebook usaba la visibilidad del tráfico de red para saber qué aplicaciones usaban los usuarios, con qué frecuencia y durante cuánto tiempo. Esta inteligencia informó la estrategia de producto de Facebook: según es sabido, los datos de Onavo alertaron a Facebook del crecimiento de WhatsApp antes de la adquisición, y del crecimiento de TikTok antes de Reels.
Apple finalmente retiró Onavo de la App Store en 2018 alegando violaciones de recopilación de datos, y Facebook lo cerró en 2019 tras el escándalo de Cambridge Analytica que hacía insostenible la imagen pública. El mecanismo — VPN gratuita como embudo de inteligencia competitiva para la empresa matriz — se repite periódicamente; los nombres cambian pero la estructura se repite.
Cómo detectarlo: el negocio real de la empresa matriz es la publicidad, las redes sociales o el análisis competitivo. La política de privacidad contiene lenguaje sobre «datos de uso agregados y anonimizados» o «mejorar nuestros servicios» con un alcance amplio. La VPN gratuita no tiene un nivel de pago obvio — no hay razón para que exista como producto independiente.
3c. Inyección de publicidad y empaquetado de malware (la larga cola)
El menos sofisticado y el más frecuente: la aplicación VPN gratuita inyecta anuncios en páginas web, redirige el tráfico a través de enlaces de afiliados, o se distribuye con adware/spyware incluido. Los estudios sobre aplicaciones VPN gratuitas en Android encuentran repetidamente un porcentaje significativo que incorpora SDKs de seguimiento, solicita permisos innecesarios o, en casos extremos, contiene malware puro. El CSIRO publicó un estudio de 2017 ampliamente citado en el que encontró que el 38% de 283 aplicaciones VPN gratuitas de Android analizadas contenía algún tipo de malware; trabajos posteriores en años siguientes constatan que la situación mejoró, pero no se transformó.
Cómo detectarlo: la aplicación muestra publicidad agresiva en su propia interfaz, solicita permisos más allá de lo que una VPN necesita (contactos, SMS, ubicación permanente), tiene muy pocas reseñas en la tienda de aplicaciones, y el nombre del desarrollador es desconocido. Las aplicaciones genéricas de «Mejor VPN Gratuita» en Play Store que parecen ligeramente distintas entre sí suelen ser el mismo SDK con otra marca.
La lista de señales de alerta en la política de privacidad
Antes de instalar cualquier VPN — gratuita o de pago — lee la política de privacidad y busca estas preocupaciones concretas:
- Lenguaje vago sobre «datos de uso agregados» con usos permitidos amplios («para mejorar nuestros servicios, para nuestros socios, para fines de marketing»). Los proveedores de pago honestos suelen especificar exactamente qué registran: información de cuenta, información de pago, a veces el uso de ancho de banda a nivel agregado, nada más.
- Sin auditoría de terceros, o referencia vaga a una sin enlace. Los proveedores de pago honestos enlazan al informe de auditoría completo (Proton, Mullvad, ExpressVPN, NordVPN todos publican los suyos).
- Jurisdicción hostil a la privacidad del usuario — EE. UU. (sujeto a órdenes de silencio NSL), Reino Unido (Investigatory Powers Act), o jurisdicciones en el acuerdo de intercambio de inteligencia de los Catorce Ojos. No es automáticamente descalificador, pero vale la pena sopesarlo.
- Propiedad anónima. Si no puedes descubrir qué empresa es propietaria del producto y dónde tiene su sede con unos minutos de investigación, eso es una señal.
- Lenguaje de arquitectura «P2P / peer-to-peer / red comunitaria» — véase el patrón Hola más arriba.
- Permisos en la tienda de aplicaciones mucho más allá de lo que necesita una VPN. Una VPN necesita el permiso de servicio VPN y, en Android, servicio en primer plano. No necesita contactos, SMS, calendario, ni ubicación precisa.
Cuándo lo gratuito es genuinamente la respuesta correcta
Tres casos de uso honestos en los que una VPN gratuita (concretamente del Patrón 1 o el Patrón 2) es genuinamente la herramienta adecuada:
- Cifrado ocasional en la cafetería. Quieres tu tráfico cifrado para evitar que te espíen en una WiFi hostil, tu volumen mensual es inferior a unos pocos GB y no haces nada que se beneficie especialmente de la velocidad. ProtonVPN Free, Windscribe Free, TunnelBear Free y Cloudflare WARP lo hacen perfectamente.
- Probar antes de comprar. Usa el nivel gratuito de un proveedor de pago para validar la calidad de la aplicación, la velocidad y la lista de países antes de comprometerte con una suscripción anual. Los niveles gratuitos existen precisamente para esto.
- Ya estás en el paquete de alguien. Si pagas iCloud+ y tu tráfico es principalmente Safari, iCloud Private Relay es gratuito al margen. Si usas Brave, Brave Firewall + VPN viene incluido. Si tu empresa proporciona una VPN corporativa, úsala para el trabajo y combínala con otra cosa para uso personal.
Lo que una VPN de pago te compra realmente (versión honesta)
Sin afirmaciones de marketing, esto es lo que los ingresos por suscripción permiten a un proveedor ofrecer y que un proveedor financiado por publicidad o reventa de datos estructuralmente no puede:
- Un incentivo alineado con tu privacidad, no en contra. La suscripción ES el ingreso; vender tus datos de tráfico destruiría la marca y la base de clientes. El argumento económico a favor del comportamiento honesto es el más sólido.
- Capacidad para gestionar abusos sin dejarte tirado. Los proveedores de pago pueden permitirse personal de respuesta a abusos; los proveedores gratuitos subasignan recursos en esto y o bien dejan que el abuso dañe la reputación, o bien eliminan funciones (P2P/torrents desaparece frecuentemente de los niveles gratuitos por razones de coste, no de política).
- Auditorías de terceros. Las auditorías de seguridad externas cuestan dinero real; los proveedores gratuitos rara vez las encargan. Los principales proveedores de pago publican informes de auditoría de forma regular.
- Velocidad y densidad de servidores. El ancho de banda es el coste dominante. Los proveedores de pago pueden sobreaprovisionarlo; los gratuitos lo racionan. Esto se traduce en velocidades más lentas en horas pico, menos países disponibles y un grupo de IPs más pequeño.
- Soporte real al cliente. Los usuarios del nivel gratuito obtienen un foro comunitario; los clientes de pago reciben respuesta por correo electrónico en pocas horas.
- Un modelo de negocio claro. Cuando puedes identificar cómo gana dinero la empresa, puedes predecir cómo se comportará bajo presión (adquisición, dificultades financieras, presión regulatoria).
Por qué las VPN tampoco son toda la solución (la posición honesta del proveedor de pago)
Incluso una VPN de pago perfecta — correctamente auditada, sin registros, bien ingeniería — solo resuelve un subconjunto específico de problemas de privacidad. La parte del cifrado del tráfico: sí. La parte de «tu ISP no puede ver qué sitios visitas»: sí. La parte de «la red de la cafetería no puede leer tus sesiones»: sí. Pero:
- Los sitios y aplicaciones con los que te comunicas siguen viéndote — y en los teléfonos, los SDKs de seguimiento dentro de las aplicaciones envían datos a casa independientemente de la ruta de red. App Tracking Transparency en iOS bloquea el IDFA pero no el fingerprinting; véase Lo que App Tracking Transparency de iOS no detiene.
- Los anuncios, rastreadores y dominios maliciosos siguen cargándose en la capa DNS. Una VPN cifra tu tráfico hacia el destino; no filtra a qué destinos se llega. Por eso el filtrado a nivel DNS es el complemento natural — véase Cómo funciona realmente el filtrado a nivel DNS.
- Los ataques de análisis de tráfico en la capa de metadatos — patrones de bytes por segundo, temporización, con quién te conectas y cuándo — funcionan a través de túneles cifrados. A la mayoría de los usuarios no les importa; a algunos sí.
Casper's Cloak combina el túnel VPN con el bloqueo de anuncios/rastreadores a nivel DNS (ejecutamos una instancia de Pi-hole por usuario como resolvedor) y detección de amenazas basada en IA — precisamente porque la propuesta de solo VPN deja abierta la superficie de la capa DNS. Para ser francos: una VPN de pago es necesaria para un conjunto significativo de problemas de privacidad e insuficiente por sí sola para otros.
Conclusión
Las VPN gratuitas no son una categoría, son tres categorías distintas con estructuras de incentivos muy diferentes. Nivel gratuito limitado de un proveedor de pago: generalmente aceptable, deliberadamente limitado, los usuarios de pago te subvencionan. VPN gratuita para un propósito concreto: depende de quién paga y por qué, pero suele ser honesta al respecto. VPN gratuita como monetización: aquí es donde han vivido los daños documentados — redes donde tu dispositivo es nodo de salida, reventa a intermediarios de datos, inyección de publicidad, empaquetado de malware. La forma de distinguir la tercera categoría de las dos primeras es la lista de señales de alerta en la política de privacidad mencionada anteriormente y, de forma más fiable, preguntándote: ¿de dónde viene el dinero? Si puedes nombrarlo, probablemente estás bien. Si no puedes, probablemente tú eres el producto.
Y sea cual sea tu elección: gratuita, de pago o ninguna, combínala con filtrado DNS como mínimo y no esperes que ninguna de estas cosas sea la solución completa. La combinación honesta es VPN + filtrado DNS + configuraciones de SO sensatas — esa es la arquitectura que ofrece Casper's Cloak; también es la arquitectura que puedes ensamblar tú mismo con componentes gratuitos si lo deseas.
Relacionado: Ataques en WiFi pública en 2026 cubre el modelo de amenaza que se supone que abordan las VPN; Cómo funciona realmente el filtrado a nivel DNS cubre la capa que las VPN dejan abierta; Qué cubre realmente iCloud Private Relay cubre la función de privacidad de Apple que no es del todo una VPN. La comparación de Casper's Cloak con VPN tradicionales profundiza en las diferencias técnicas.