Tor y VPN se confunden regularmente en la prensa generalista y en los foros online, aunque resuelven dos problemas distintos y no son intercambiables. Un VPN es una herramienta de privacidad cotidiana — oculta tu IP, cifra tu tráfico en redes no fiables, sortea bloqueos geográficos. Tor es una herramienta de anonimato fuerte — separa tu identidad real de lo que haces en línea, a costa de una velocidad reducida y una UX degradada. Confundirlos lleva a dos errores simétricos: usar Tor para Netflix (frustración garantizada), o usar un VPN gratuito para actividades de alto riesgo (falsa sensación de seguridad).
Esta guía compara las dos tecnologías con precisión: su funcionamiento, sus garantías, sus limitaciones, sus casos de uso propios y sus posibles combinaciones. Va dirigida a usuarios que quieren entender qué protección compran realmente con cada herramienta y decidir con conocimiento de causa según su modelo de amenaza.
Cómo funcionan Tor y VPN — dos arquitecturas opuestas
La mejor forma de captar la diferencia es visualizar qué ocurre técnicamente cuando cargas una página web con cada herramienta. Las dos cifran el tráfico, pero su topología de red es radicalmente diferente.
Arquitectura VPN — túnel punto a punto. Cuando activas un cliente VPN, tu dispositivo establece una conexión cifrada hacia un servidor único operado por tu proveedor (NordVPN, ExpressVPN, Mullvad, ProtonVPN). Todo tu tráfico IP se encapsula en ese túnel mediante un protocolo como WireGuard, OpenVPN o IKEv2. El servidor VPN descifra el tráfico a su salida y lo envía al sitio destino con su propia IP como dirección de origen. Para el sitio visitado, la IP visible es la del servidor VPN. Para tu ISP o hotspot, solo se observa un flujo cifrado hacia el servidor VPN — ninguna información sobre los destinos finales, ninguna sobre el contenido. El proveedor VPN, en cambio, lo ve todo: sabe quién eres (tienes una cuenta de pago, una IP de origen, a veces una tarjeta bancaria asociada) y podría técnicamente registrar tus destinos. Por eso las auditorías independientes de no-registro (PwC para NordVPN, KPMG y después Cure53 para ExpressVPN, Cure53 para Mullvad) son el criterio central a la hora de elegir un proveedor serio.
Arquitectura Tor — enrutamiento onion de tres saltos. Tor (The Onion Router) no te conecta a un servidor único sino a un circuito de tres nodos sucesivos elegidos aleatoriamente en un pool de unos 7.000 relays operados por voluntarios en todo el mundo. Tu cliente Tor cifra tu paquete tres veces — una capa por relay, como las capas de una cebolla. El nodo de entrada (guard) recibe el paquete, elimina la primera capa y ve la dirección del nodo siguiente, pero no la del final ni el contenido. El nodo intermedio (middle) elimina la segunda capa; no sabe ni de dónde viene el paquete en origen ni adónde va. El nodo de salida (exit) elimina la última capa, ve el contenido y el destino final, pero desconoce quién es el remitente inicial. Ningún nodo conoce el camino completo — esa es la innovación fundamental del onion routing, formalizada en la documentación de referencia del Tor Project y teorizada desde los años 90 por el US Naval Research Laboratory.
Consecuencia práctica sobre la confianza. Con un VPN, depositas tu confianza en un único actor (el proveedor). Si ese actor es íntegro, auditado y está fuera de una jurisdicción problemática, estás bien protegido. Si no, no has ganado nada. Con Tor, depositas tu confianza en la diversidad de la red: mientras ningún adversario controle simultáneamente el nodo de entrada y el de salida de tu circuito, tu anonimato se mantiene. Es una garantía estadística, no absoluta — un actor que controlara el 20 % de los nodos tendría una probabilidad no despreciable de desanonimizar ciertos circuitos con el tiempo. El balance es claro: VPN = confianza concentrada y verificable, Tor = confianza distribuida pero probabilística.
El detalle técnico del cifrado Tor se basa en primitivas estandarizadas — handshake ntor (NIST P-256), cifrado AES-CTR capa por capa, TLS entre relays — descritas en la especificación oficial de Tor. Para los VPN modernos, WireGuard utiliza Curve25519 para el intercambio de claves y ChaCha20-Poly1305 para el cifrado — un protocolo mínimo (4.000 líneas de código frente a ~70.000 de OpenVPN) auditado formalmente y adoptado masivamente desde 2020.
Comparación directa: seguridad, velocidad, anonimato, legalidad
La tabla siguiente resume los criterios más frecuentemente comparados entre ambas herramientas. Lectura recomendada columna por columna — cada criterio pesa de forma diferente según tu modelo de amenaza.
| Criterio | VPN auditado | Tor | Tor over VPN |
|---|---|---|---|
| Cifrado del contenido | Sí (AES-256 o ChaCha20) | Sí (AES capa por capa) | Sí (ambos) |
| Oculta la IP al sitio visitado | Sí (IP del servidor VPN) | Sí (IP del exit node) | Sí (IP del exit node) |
| Oculta la IP al ISP | Sí | Sí | Sí |
| El proveedor conoce tu actividad | Sí (neutralizable con auditoría no-log) | No (ningún actor único) | El VPN sabe que usas Tor |
| Velocidad típica en España | 200-500 Mbps | 1-5 Mbps | 1-5 Mbps |
| Latencia | 10-50 ms | 200-800 ms | 200-800 ms |
| Streaming Netflix/Disney+ | Sí (desbloqueo geo posible) | No (velocidad insuficiente, exit blacklisteado) | No |
| Legalidad en España/UE | Sí | Sí | Sí |
| Coste | 3-12 €/mes | Gratuito | 3-12 €/mes (el VPN) |
| Adversario objetivo | ISP, hotspot, sitios comerciales | Vigilancia global, censura estatal | Mixto |
| Facilidad de uso | Activación en un clic | Descarga del Tor Browser dedicado | Configuración combinada |
Cómo leer esta tabla. Para uso cotidiano — protección en Wi-Fi público, ocultación de la IP a las redes publicitarias, sortear bloqueos geo de streaming — la columna VPN gana en todos los criterios prácticos. Para un uso de alto riesgo — proteger una fuente periodística, acceder a contenido censurado, investigar un tema político sensible — la columna Tor es la única que ofrece una garantía estructural de anonimato. La columna Tor over VPN solo tiene sentido en un caso concreto: que tu ISP ignore que usas Tor, bien porque es legalmente arriesgado en tu país (China, Irán, algunos estados del Golfo), bien porque la mera detección del uso de Tor llama la atención sobre tu tráfico.
Sobre la legalidad — aclaración importante para España. Tanto Tor como los VPN son completamente legales en España y en la UE. El Tor Project recuerda regularmente que la red es utilizada masivamente por periodistas, ONG (Amnesty International, Reporteros Sin Fronteras usan Tor), bibliotecas e incluso gobiernos. La criminalización que a veces aparece en los medios concierne los actos cometidos a través de Tor, no el uso de la red en sí. La LSSI-CE y la directiva ePrivacy no contemplan ninguna restricción al uso de Tor o VPN por particulares en España.
Casos de uso: cuándo Tor, cuándo VPN, cuándo los dos
En lugar de oponer teóricamente las dos herramientas, aquí están los casos de uso concretos donde cada una tiene sentido, basados en las recomendaciones de la EFF Surveillance Self-Defense y la práctica habitual entre usuarios avanzados.
VPN solo — la herramienta del día a día. Un viajero conectado al Wi-Fi de un hotel o aeropuerto, un teletrabajador en una red pública, un particular que quiere impedir que Movistar o Vodafone revenda su historial de navegación, un usuario que ve Netflix de EE.UU. desde Madrid, un freelance que sortea un bloqueo geográfico para acceder a un servicio no disponible en España. En todos estos casos, un VPN del top 3 auditado (NordVPN, ExpressVPN, Mullvad) con kill switch activado es la herramienta adecuada. La protección es invisible una vez configurada, la velocidad permite todos los usos y el coste es módico. Tor sería inútil y frustrante — velocidad insuficiente para el streaming, exit IPs bloqueadas por Netflix, captchas constantes en sitios comerciales. Nuestra opinión sobre NordVPN tras 8 meses de uso cubre precisamente estos usos.
Tor solo — la herramienta del anonimato fuerte. Un periodista que contacta a una fuente en un país autoritario, un denunciante que transmite documentos a una redacción (a través de SecureDrop), un activista que documenta abusos bajo un régimen censurante, un investigador de seguridad que explora la dark web para threat intelligence, un ciudadano en China o Irán que accede a sitios bloqueados. En estos casos, la garantía de anonimato estructural de Tor — ningún actor único sabe a la vez quién eres y qué haces — supera ampliamente la lentitud. Usarlo desde Tails OS (un sistema live amnésico que arranca desde USB y lo olvida todo al apagarse) cierra también las fugas locales (historial del navegador, rastros en disco). El Tor Browser oficial es suficiente para la mayoría de los usos menos sensibles.
Tor over VPN — un sub-caso preciso. Esta configuración combina primero un VPN, luego lanza Tor encima. El beneficio principal: tu ISP no ve que usas Tor, solo ve un flujo VPN cifrado. Es útil cuando el uso de Tor en sí atrae la atención o es legalmente arriesgado (China, Irán, Rusia, EAU, Bielorrusia). NordVPN ofrece la funcionalidad «Onion over VPN» que automatiza este flujo. La contrapartida: confías en el proveedor VPN para que no registre el hecho de que usas Tor. Frente a un adversario débil (ISP comercial europeo), es un buen equilibrio. Frente a un adversario fuerte (actor estatal con acceso a los logs del VPN), es insuficiente y hay que recurrir a Tor solo desde Tails en una red que no te delate (Wi-Fi anónimo, hotspot móvil de prepago).
VPN over Tor — raro y para un caso específico. La configuración inversa, técnicamente más compleja. Tor sale primero, luego un cliente VPN se conecta por encima de la red Tor. La ventaja: tener una IP de salida VPN estable (útil si un sitio bloquea los exit nodes conocidos de Tor) mientras ocultas tu IP real al proveedor VPN. Los inconvenientes: firma de tráfico peculiar (poca gente hace esto, por lo que te distingues), complejidad de configuración, rendimiento aún peor. Reservado para casos en los que es la única solución técnica — infrecuente en la práctica.
Limitaciones comunes: lo que Tor y VPN NO protegen
Ninguna de las dos herramientas proporciona anonimato o confidencialidad absolutos. Cuatro limitaciones estructurales se aplican a ambas, y es importante conocerlas para no depender de ellas de forma equivocada.
Fingerprinting del navegador. Los sitios visitados pueden identificar tu navegador por su firma única: User-Agent, fuentes instaladas, Canvas y WebGL, zona horaria, idioma, resolución de pantalla, plugins. El proyecto Cover Your Tracks de la EFF mide esta huella en tiempo real. En un navegador estándar (Chrome, Safari), suele ser única entre cientos de miles de visitantes — lo que significa que es reconocible de una sesión a otra aunque la IP cambie. El Tor Browser corrige parcialmente este problema estandarizando la huella (todas las instancias del Tor Browser tienen la misma resolución redondeada y el mismo User-Agent). Un VPN no toca el fingerprinting — hay que añadir un navegador reforzado (Brave, Firefox con resistFingerprinting o Tor Browser).
Identificadores persistentes de aplicación. Si te conectas a Gmail, Facebook o tu banca online a través de Tor o un VPN, el servicio te reconoce porque le has proporcionado tus credenciales. El túnel cifrado no borra el hecho de que estás autenticado — es precisamente para eso para lo que lo usas en esos servicios habituales. El anonimato solo tiene sentido en actividades donde no estás conectado a ninguna cuenta asociada a tu identidad real.
Ataques de correlación temporal. Un adversario que observa simultáneamente el tráfico que entra en tu dispositivo (ISP, Wi-Fi del empleador) y el tráfico que sale por el lado del servidor puede correlacionar los patrones temporales e identificar la sesión — independientemente del número de relays intermedios. Esta es la limitación estructural de cualquier sistema de mezcla de tráfico: si puedes observar ambos extremos, puedes romper el anonimato. Tor mitiga este ataque multiplicando los nodos y mezclando el tráfico, pero para un adversario que vigila a escala de Internet (un actor estatal importante), sigue siendo posible contra objetivos de alto valor. Los VPN no ofrecen ninguna protección frente a este vector — peor aún, concentran el tráfico saliente en un número limitado de IPs de servidor muy observables.
Compromiso del dispositivo. Un malware en tu ordenador o teléfono exfiltra datos antes de que entren en el túnel cifrado. Ningún VPN ni Tor protege contra un keylogger, un screen-grabber o un infostealer instalado localmente. La solución: mantener el SO y las aplicaciones actualizados, no ejecutar binarios dudosos, usar un antivirus moderno en Windows. Para OPSEC de alto nivel, Tails OS en un USB es la respuesta — un sistema efímero que no guarda nada y se reinicia fresco en cada sesión sensible.
Para quién es realmente útil Tor: periodismo, censura, denuncia
Tor no es una herramienta universal — su curva de uso ideal dibuja un perfil muy concreto. Entender quién es su usuario legítimo ayuda a tomar la decisión adecuada.
Periodistas de investigación. La red Tor se usa desde principios de los 2010 para proteger las comunicaciones entre periodistas y fuentes. Varias grandes redacciones (The New York Times, The Washington Post, The Guardian, El País) operan plataformas SecureDrop — un servicio oculto Tor (.onion) que permite a una fuente transmitir documentos sin revelar su identidad ni su IP. SecureDrop se ha convertido en el estándar de facto para los denunciantes y se ha utilizado en casos importantes (filtraciones NSA de Snowden parcialmente, Panama Papers indirectamente, varios leaks gubernamentales). Para un periodista en el punto de mira de un Estado o una corporación, Tor es el mínimo indispensable, complementado por Tails OS y una OPSEC estricta.
Activistas bajo regímenes autoritarios. En China, Irán, Rusia, Bielorrusia y varios países del Golfo, el acceso a sitios como la BBC, el New York Times o Wikipedia (según los periodos) está bloqueado por filtrado gubernamental. Tor con bridges ofuscados (obfs4, meek, snowflake) permite sortear estos bloqueos sin revelar el uso de Tor al operador de red local. El Tor Project documenta activamente las técnicas de evasión adaptadas a cada país — Tor Bridges distribuye relays no listados públicamente a través de canales resistentes a la enumeración.
Investigación académica e inteligencia de amenazas. Los investigadores de seguridad exploran regularmente los servicios ocultos (.onion) para labores de vigilancia — foros cibercriminales, mercados ilegales, plataformas de leak. El uso de Tor les permite acceder a estos recursos compartimentando esa actividad respecto a su identidad profesional. Varios equipos de threat intelligence (Recorded Future, Flashpoint, Kaspersky) mantienen operaciones de monitoreo continuo a través de Tor.
Ciudadanos con exposición jurídica. Abogados que consultan bases de datos sensibles para sus expedientes, médicos que buscan información médica sin dejar rastro en el lado de la aseguradora, funcionarios que acceden a documentos públicos en países donde la mera consulta está registrada. Casos minoritarios numéricamente, pero en los que Tor marca una diferencia real de protección.
Los riesgos propios de Tor: exit nodes, vigilancia, malas prácticas
Tor no está exento de riesgos — la sofisticación del protocolo también crea vulnerabilidades específicas que los usuarios nuevos suelen ignorar.
Nodos de salida maliciosos. Un exit node ve el tráfico en claro (antes de que llegue al sitio destino). Si usas HTTP no cifrado, el exit node puede leer el contenido e incluso inyectar modificaciones. Si usas HTTPS — lo que debería ser sistemático en 2026 — el contenido permanece cifrado, pero el exit node ve el dominio destino (SNI) y la IP. Los investigadores han documentado desde 2007 (y de nuevo recientemente) campañas de nodos de salida que interceptan credenciales o inyectan archivos comprometidos en las descargas. El Tor Project ha implementado un sistema de marcado (BadExit) y excluye los nodos detectados, pero el riesgo residual existe. La solución: HTTPS sistemático, verificación de certificados, desconfianza hacia las descargas de binarios a través de Tor.
Vigilancia estatal sobre los nodos de entrada. Varios estudios académicos (USENIX 2008, trabajos del MIT/Princeton) han modelizado ataques de correlación donde un adversario que controla un porcentaje no despreciable de nodos de guarda y de salida puede desanonimizar sesiones con el tiempo. Los actores estatales importantes (NSA, servicios chinos, servicios rusos) operan presumiblemente nodos Tor con fines de vigilancia — documentado en las filtraciones de Snowden. Para un objetivo de alto valor, el riesgo es real; para un uso civil medio, negligible. El Tor Project lo mitiga mediante la diversidad geográfica de los nodos y la rotación de los guards.
Errores de OPSEC del usuario. La mayoría de las desanonimizaciones históricas de Tor no vienen del protocolo, sino de errores de los usuarios: conectarse a una cuenta Gmail personal a través de Tor, descargar un PDF con macros que llama a un servidor externo fuera del túnel, usar un VPN gratuito que registra las conexiones, configurar un proxy mal aislado. El caso Silk Road (Ross Ulbricht) implicó un error operacional (un nombre de usuario reutilizado entre un foro público y Silk Road) más que una ruptura del protocolo Tor. Para una OPSEC seria: Tails + Tor Browser estándar + cero cuentas personales + cero descargas ejecutables + cero mezcla de identidades es el mínimo.
Riesgo legal según la jurisdicción. En España y la UE, usar Tor es legal. En ciertos países, el mero uso se considera sospechoso y puede justificar una investigación. Rusia intentó bloquear Tor en 2021 (fracaso técnico); China lo bloquea desde hace tiempo (superable con bridges). Si viajas a esos países, el simple hecho de descargar Tor desde el hotspot del hotel puede ser arriesgado — prepara tu configuración antes de salir y usa el modo bridges ofuscados (Snowflake en particular, que se parece al tráfico WebRTC normal).
★ Audit Deloitte 2024 · ✓ Garantie 30 jours · 14M+ utilisateurs (source : NordVPN press)
Probar NordVPN — Onion over VPN incluidoAuditoría no-log Deloitte 2024 · WireGuard nativo (NordLynx) · 30 días satisfecho o reembolsado→Síntesis: elegir según tu modelo de amenaza
La pregunta adecuada no es nunca «VPN o Tor» en abstracto, sino «contra qué adversario necesito protegerme y cuál es su capacidad técnica». Cuatro perfiles típicos resumen la decisión.
Perfil 1 — Adversario pasivo local (hotspot, ISP doméstico, empleador). Quieres impedir que el Wi-Fi del aeropuerto, tu ISP o tu red corporativa vean tus destinos y tu contenido. Un VPN auditado es suficiente — amplio margen de seguridad, experiencia fluida. Tor sería sobredimensionado y frustrante.
Perfil 2 — Adversario comercial (redes publicitarias, sitios de rastreo). Quieres impedir que los sitios visitados te rastreen entre sesiones, crucen tu actividad y te dirijan publicidad personalizada. VPN + navegador reforzado (Brave, Firefox containers, uBlock Origin) es la combinación más eficaz en la práctica. Tor rompe demasiados usos cotidianos para este perfil.
Perfil 3 — Adversario estatal moderado (servicios generales, requerimientos judiciales). Quieres que tu actividad no pueda reconstruirse mediante una solicitud judicial ordinaria a tu ISP o a un gran servicio online. Un VPN auditado no-log fuera de la jurisdicción de tu adversario cubre el 90 % de los casos. Para la capa adicional de separación de identidad (alias web, cuentas separadas), Tor es innecesario salvo para un uso específico.
Perfil 4 — Adversario estatal fuerte (periodismo de riesgo, denuncia, activista bajo régimen autoritario). Te enfrentas a un actor capaz de vigilar flujos a gran escala, incautar servidores de proveedores y montar operaciones dirigidas. Tor solo desde Tails OS en una red anónima — con OPSEC estricta. El VPN se convierte en un riesgo de confianza adicional más que en una capa de protección. Tor over VPN eventualmente si ocultar el uso de Tor a tu ISP es crítico.
La trampa clásica: usar una herramienta sobredimensionada para tu perfil (Tor para streaming) o subdimensionada (VPN gratuito para una actividad de alto riesgo). Identificar honestamente tu adversario es la decisión más importante — el resto se desprende lógicamente.
Para profundizar
Tor y VPN son herramientas complementarias, no competidoras — y el error más frecuente es confundirlos o creer que uno sustituye al otro. Para la mayoría de los usuarios, un VPN del top 3 auditado con kill switch cubre todas las necesidades de privacidad cotidiana. Para usos de alto riesgo, Tor sobre Tails sigue siendo la referencia y la combinación Tor over VPN se justifica en casos precisos (ocultar el uso de Tor bajo un régimen autoritario). Antes de elegir un VPN, verifica que el proveedor publique auditorías independientes recientes y que su kill switch funcione en tu SO — nuestra auditoría VPN completa en 9 pruebas cubre el procedimiento de verificación trimestral.
Guías relacionadas con privacidad y anonimato en red
- Riesgos del Wi-Fi público en 2026 →Artículo pilar del clúster de seguridad de red
- Kill switch VPN explicado →Por qué es innegociable en redes públicas
- Auditoría VPN completa en 9 pruebas →Procedimiento de verificación trimestral
- Opinión NordVPN tras 8 meses →Test prolongado desde la auditoría Deloitte al uso diario
- Probar fugas DNS y WebRTC →Verificación rápida en 30 segundos
Artículo publicado el 29 de mayo de 2026. Metodología: síntesis de la documentación pública del Tor Project (especificación oficial, design papers, estadísticas agregadas), las auditorías independientes de los principales proveedores VPN (PwC NordVPN 2022, Deloitte NordVPN 2024, KPMG/Cure53 ExpressVPN 2022-2024, Cure53 Mullvad anuales), las recomendaciones de la EFF Surveillance Self-Defense y las publicaciones académicas de USENIX/IEEE Security sobre ataques de desanonimización de Tor.
★ Audit Deloitte 2024 · ✓ Garantie 30 jours · 14M+ utilisateurs (source : NordVPN press)
Probar NordVPN30 jours satisfait ou remboursé→
