Cuando empiezas a explorar los VPN y la privacidad digital, los términos técnicos se multiplican rápidamente: WireGuard, kill switch, no-log, jurisdicción Five Eyes, perfect forward secrecy... Cada comparativa los usa como si fueran evidentes, sin definirlos nunca claramente. Este glosario lo corrige: 30 definiciones cortas y precisas, organizadas por tema, redactadas para entenderse en menos de 30 segundos.
Sirve como referencia rápida a tener a mano y como base para comprender las auditorías VPN y las guías técnicas del sitio. Los términos más críticos — los que realmente definen si un VPN protege o no — se señalan explícitamente.
Tabla de contenidos
- Protocolos VPN
- Cifrado y seguridad
- Fugas y vulnerabilidades
- Privacidad y jurisdicción
- Funcionalidades clave
- Herramientas y tecnologías relacionadas
Protocolos VPN
VPN (Virtual Private Network)
Un VPN es un túnel cifrado entre tu dispositivo y un servidor remoto gestionado por el proveedor. Enmascara tu dirección IP real, cifra todo el tráfico y hace creer a los sitios que navegas desde la ubicación del servidor. Tu ISP solo ve el túnel cifrado, no qué sitios visitas.
WireGuard
WireGuard es el protocolo VPN más moderno (menos de 4.000 líneas de código fuente, frente a las 400.000 de OpenVPN). Utiliza ChaCha20 para el cifrado y Curve25519 para el intercambio de claves. Es de 2 a 5 veces más rápido que OpenVPN en benchmarks de rendimiento, con menor latencia y una superficie de ataque mínima. Estándar recomendado en 2026.
OpenVPN
OpenVPN es el protocolo VPN open source de referencia desde 2001. Muy auditado, muy flexible, disponible en todos los sistemas operativos, pero técnicamente más pesado que WireGuard. Usa AES-256-GCM y soporta TCP (estable pero lento) y UDP (rápido). Sigue siendo relevante para eludir firewalls que bloquean WireGuard. Ver nuestra comparativa WireGuard vs OpenVPN.
IKEv2/IPsec
IKEv2 (Internet Key Exchange v2) combinado con IPsec es un protocolo de alto rendimiento, nativo en iOS y macOS, especialmente estable al cambiar de red (Wi-Fi → 4G). Ligeramente más lento que WireGuard pero más probado en móvil. Una buena alternativa cuando WireGuard tiene problemas de compatibilidad de red.
Split tunneling
El split tunneling permite elegir qué aplicaciones o dominios pasan por el túnel VPN y cuáles usan la conexión directa. Útil para acceder a recursos locales (impresora, NAS, banca) mientras se protege el resto del tráfico. Desactivar el split tunneling durante auditorías técnicas para evitar mediciones incorrectas.
Cifrado y seguridad
AES-256
AES-256 (Advanced Encryption Standard, clave de 256 bits) es el estándar de cifrado simétrico utilizado por prácticamente todos los VPN modernos. Un ataque de fuerza bruta directa es computacionalmente imposible con el hardware actual, incluidos los ordenadores cuánticos en el modelo de amenaza actual. La variante GCM (modo Galois/Counter) añade autenticación integrada del mensaje.
Perfect forward secrecy (PFS)
La confidencialidad directa perfecta genera una clave de sesión única para cada conexión, independiente de la clave maestra. Si se compromete una clave de sesión, las sesiones anteriores y futuras permanecen protegidas. Sin PFS, una clave a largo plazo comprometida descifra todo el historial de comunicaciones. WireGuard y OpenVPN modernos implementan PFS por defecto mediante ECDH.
Cifrado extremo a extremo (E2E)
El cifrado end-to-end garantiza que solo el emisor y el destinatario pueden leer el mensaje — ni el proveedor de servicios ni ningún intermediario de red. Signal, ProtonMail y algunas aplicaciones de mensajería lo implementan. Distinción importante: un VPN cifra el tránsito de red pero no el contenido de las aplicaciones; E2E cifra el propio contenido de la aplicación.
Ofuscación
La ofuscación disfraza el tráfico VPN para que parezca tráfico HTTPS ordinario, dificultando su detección y bloqueo. Se usa para eludir firewalls con inspección profunda de paquetes (DPI) — especialmente en China (Gran Firewall), Rusia y los Emiratos Árabes Unidos. ExpressVPN (Lightway ofuscado), NordVPN (servidores ofuscados) y Mullvad ofrecen esta opción.
Zero-knowledge
Un sistema zero-knowledge almacena o procesa datos sin tener nunca acceso al contenido en claro. En el contexto VPN, significa que el proveedor no puede acceder técnicamente a tus datos de navegación aunque quisiera. Es diferente del simple no-log: el no-log es una promesa de política; el zero-knowledge es una garantía arquitectónica.
Fugas y vulnerabilidades
DNS leak (fuga DNS)
Una fuga DNS ocurre cuando las solicitudes de resolución de nombres de dominio (¿qué servidor corresponde a "google.com"?) salen fuera del túnel VPN y pasan por los servidores DNS del ISP. Resultado: tu ISP ve cada dominio que visitas, aunque el contenido esté cifrado. Es la fuga más frecuente y menos visible. Guía completa: probar fugas DNS.
WebRTC leak (fuga WebRTC)
WebRTC es una API del navegador para la comunicación peer-to-peer. Para funcionar, consulta todas las interfaces de red de tu máquina — incluyendo tu IP real, antes de que el VPN la enmascare. Un script JavaScript malicioso puede así obtener tu IP real a pesar del VPN activo. Solución: activar la protección WebRTC en el cliente VPN o deshabilitar WebRTC en el navegador.
IP leak (fuga de IP)
Una fuga de IP expone tu dirección IP real a un sitio externo a pesar del VPN activo. Causas posibles: túnel mal configurado, bug del cliente, protocolo no soportado (IPv6 si el VPN solo tuneliza IPv4). Verificable en 30 segundos con nuestra herramienta de prueba de fugas. Toda auditoría VPN seria comienza aquí.
IPv6 leak (fuga IPv6)
Si tu ISP despliega IPv6 de forma nativa y tu VPN solo tuneliza IPv4, tu dirección IPv6 real sigue siendo visible desde el exterior. Plataformas como Google o Facebook prefieren IPv6 cuando está disponible — por lo que ven tu identidad real. Solución: deshabilitar IPv6 a nivel de SO o usar un VPN que gestione ambos protocolos.
Fingerprinting (huella digital del navegador)
El fingerprinting identifica un navegador o dispositivo mediante la combinación única de sus características técnicas: resolución de pantalla, fuentes instaladas, zona horaria, renderizado Canvas/WebGL, lista de extensiones. Esta huella sobrevive a los cambios de IP — un VPN no la enmascara. Contramedidas: Firefox con privacy.resistFingerprinting, Brave Shields o Tor Browser. Ver nuestra auditoría VPN completa para la prueba dedicada.
Privacidad y jurisdicción
No-log (cero registros)
Una política no-log significa que el proveedor VPN no registra ni la IP de origen, ni los sitios visitados, ni las marcas de tiempo de conexión, ni los volúmenes de datos. Una afirmación no verificada es solo un argumento de marketing. Solo una auditoría independiente reciente (PwC, Deloitte, Cure53) publicada por el proveedor constituye una prueba técnica. NordVPN, ExpressVPN, Mullvad y ProtonVPN tienen auditorías publicadas.
Five/Nine/Fourteen Eyes (5/9/14 Eyes)
Los Five Eyes (EE.UU., Reino Unido, Canadá, Australia, Nueva Zelanda) comparten activamente datos de inteligencia. Los Nine Eyes añaden Francia, Dinamarca, Países Bajos, Noruega. Los Fourteen Eyes se extienden más. Un VPN con sede en uno de estos países puede ser obligado legalmente a cooperar. Jurisdicciones fuera de la alianza: Panamá (NordVPN), Islas Vírgenes Británicas (ExpressVPN), Suiza (ProtonVPN).
Jurisdicción
La jurisdicción es el país cuyas leyes se aplican al proveedor VPN. Determina qué órdenes legales puede recibir, qué obligaciones de retención de datos se le imponen y con qué servicios de inteligencia puede ser obligado a cooperar. Panamá, Rumanía, Suiza y las Islas Caimán son las jurisdicciones más favorables a la privacidad en 2026.
Warrant canary
Un warrant canary es una declaración pública actualizada periódicamente por un proveedor VPN para señalar que no ha recibido ninguna orden gubernamental secreta. Si la declaración deja de actualizarse o desaparece, es una señal indirecta de que la empresa recibió una demanda legal bajo sello de confidencialidad. Mullvad y ProtonVPN publican canaries activos.
Threat model (modelo de amenaza)
El modelo de amenaza define de quién intentas protegerte y contra qué. Un periodista que protege a una fuente tiene un modelo muy diferente al de un usuario que solo quiere evitar la vigilancia publicitaria de su ISP. Definir el threat model permite elegir las herramientas adecuadas: VPN solo, VPN + Tor, o OPSEC completa. Sin este paso, las herramientas de protección suelen estar sobre o infradimensionadas.
Auditoría independiente
Una auditoría independiente es un examen técnico del código, la infraestructura y las prácticas de un proveedor VPN realizado por una firma externa reconocida (PwC, Deloitte, Cure53, Securitum). Verifica que la política no-log se respeta en la implementación técnica real, no solo en los términos de servicio. La fecha de la auditoría importa tanto como el auditor: un informe de 2019 está obsoleto en 2026.
Funcionalidades clave
Kill switch
El kill switch corta automáticamente tu conexión a internet si el túnel VPN cae. Sin él, tu IP real queda expuesta durante la reconexión. Existen dos niveles: kill switch de sistema (corta todo el tráfico) o por aplicación (corta solo las apps listadas). Para uso de privacidad serio, activar el nivel de sistema. Guía detallada: kill switch VPN explicado.
Double VPN (multi-hop)
El doble VPN (o multi-hop) enruta el tráfico a través de dos servidores VPN secuenciales en lugar de uno. El primer servidor cifra y reenvía; el segundo descifra y sale. Ventaja: aunque se comprometa un servidor, el atacante no ve ni la IP de origen ni el destino final. Desventaja: latencia duplicada y menor rendimiento. Recomendado para periodistas y activistas de alto riesgo.
Servidor RAM-only
Un servidor RAM-only funciona completamente en memoria volátil, sin escritura en disco. Cada reinicio borra todos los datos de forma permanente e irrecuperable. Si las autoridades incautan físicamente el servidor, no se pueden recuperar datos de usuarios — lo que sería posible con servidores en disco duro. ExpressVPN (TrustedServer) y NordVPN han migrado su infraestructura a este modelo.
Port forwarding
El port forwarding permite que las conexiones entrantes atraviesen el túnel VPN para llegar a tu dispositivo. Útil para servidores domésticos, compartición activa de archivos P2P y algunos videojuegos en línea. No todos los VPN lo ofrecen — Mullvad y ProtonVPN lo soportan, NordVPN no (desde 2023). Puede introducir riesgos de seguridad si está mal configurado.
P2P (peer-to-peer)
P2P se refiere a las redes de compartición de archivos descentralizadas (torrents, eMule). Algunos VPN bloquean el P2P o lo limitan a servidores dedicados para evitar complicaciones legales en ciertas jurisdicciones. Los VPN recomendados para torrents tienen servidores P2P específicos optimizados para volumen con política no-log verificada.
Herramientas y tecnologías relacionadas
Tor (The Onion Router)
Tor es una red de anonimización que enruta el tráfico a través de tres repetidores sucesivos gestionados por voluntarios. Cada repetidor solo conoce a sus vecinos directos — nadie ve a la vez el origen y el destino. Tor ofrece un anonimato más sólido que un VPN pero es de 10 a 20 veces más lento. Distinción fundamental: VPN = delegación de confianza, Tor = arquitectura descentralizada sin confianza central. Ver Tor vs VPN.
Tor sobre VPN (Tor over VPN)
Tor over VPN significa conectarse primero al VPN y luego lanzar Tor. Ventaja: el nodo de entrada de Tor ve la IP del servidor VPN, no tu IP real. Desventaja: rendimiento muy degradado (latencias acumuladas) y tu proveedor VPN sabe que usas Tor. Caso de uso: periodistas bajo vigilancia activa, delatores. Guía de configuración: Tor sobre VPN 2026.
Proxy
Un proxy es un intermediario de red que redirige las solicitudes de una aplicación a través de un servidor externo. A diferencia del VPN, opera solo a nivel de aplicación, sin cifrado del contenido, y cubre solo una aplicación a la vez. Se usa para eludir bloqueos geográficos simples o filtrar el tráfico corporativo. No protege contra la interceptación del tráfico.
DoH (DNS over HTTPS)
DNS over HTTPS cifra las consultas DNS dentro del tráfico HTTPS estándar, haciéndolas ilegibles para los intermediarios de red (ISP, Wi-Fi corporativo). Es diferente de un VPN: DoH no oculta tu IP ni cifra el resto del tráfico — solo protege las consultas DNS de la vigilancia. Puede complementar un VPN o usarse de forma independiente para mejorar la privacidad DNS.
Privacidad digital
La privacidad digital engloba todas las prácticas y herramientas que permiten controlar qué datos personales se recopilan, almacenan y comparten en línea. Incluye VPN, cifrado, gestión de cookies, protección contra fingerprinting, derechos legales (RGPD en Europa, CCPA en California) y elecciones de comportamiento. Un VPN es una herramienta entre muchas, no una solución completa. Ver por qué importa la privacidad digital en 2026.
Lo que este glosario no reemplaza
Conocer los términos es un punto de partida, no un fin. La protección real proviene de verificar que tu VPN hace lo que promete. Para eso: nuestra auditoría VPN en 9 pruebas cubre fugas de IP, DNS, WebRTC e IPv6, el kill switch, la geolocalización de streaming, la política de registros y la huella del navegador — en unos 30 minutos. Y si quieres profundizar en la protección contra la vigilancia en redes Wi-Fi públicas, la guía de riesgos del Wi-Fi público 2026 detalla los vectores de ataque reales y las contramedidas.
Guías y herramientas para profundizar
- Auditoría VPN completa: 9 pruebas →Protocolo trimestral: IP, DNS, WebRTC, kill switch, logs, jurisdicción
- WireGuard vs OpenVPN en 2026 →Comparativa de protocolos en velocidad, seguridad y casos de uso
- Kill switch VPN explicado →Mecanismo, variantes por SO, prueba práctica
- Probar fugas DNS e IPv6 →Guía completa de detección y corrección por SO
- Tor vs VPN: diferencias y combinación →Cuándo usar uno, el otro o ambos
- Riesgos del Wi-Fi público en 2026 →Lo que realmente ven los operadores de red
- Por qué importa la privacidad digital →Cifras reales de recopilación de datos 2025-2026
Artículo publicado el 11 de junio de 2026. Definiciones elaboradas a partir de especificaciones técnicas oficiales (RFC WireGuard, RFC 8826 WebRTC, NIST AES-256), auditorías publicadas por proveedores VPN (PwC, Deloitte, Cure53) y recomendaciones de la Electronic Frontier Foundation (Surveillance Self-Defense) y PrivacyGuides. Actualizado continuamente ante cada evolución significativa de protocolos o regulaciones.
Probar NordVPN
30 jours satisfait ou remboursé
