¿Qué VPN gratuito es seguro para un periodista?

Proton VPN Free es la única opción gratuita seria para periodistas: ancho de banda ilimitado, sin registros, código abierto, jurisdicción suiza, auditado por SEC Consult. Los VPN gratuitos como Hotspot Shield, TunnelBear Free o Betternet son inutilizables en contextos sensibles — la mayoría revenden datos de navegación. Proton VPN Free tiene una limitación: sin Secure Core (multi-hop) ni ofuscación avanzada en el plan gratuito. Si trabajas en un país hostil, es obligatoria una suscripción de pago a Mullvad o Proton VPN. Ningún VPN gratuito debería usarse para proteger fuentes.

¿Debo pagar en efectivo o con criptomonedas mi VPN?

Sí, si tu modelo de amenaza incluye a un adversario con acceso a datos bancarios — gobierno, agencia de inteligencia, operador de telecomunicaciones cooperativo. Mullvad acepta efectivo por correo postal (sobre con código de cuenta, sin nombre ni correo electrónico) y Monero. IVPN también acepta efectivo y criptos anónimas. Proton VPN no permite el pago anónimo en planes de pago — esa es su principal limitación para uso periodístico avanzado. Un pago con tarjeta bancaria crea un vínculo trazable entre tu identidad real y el servicio VPN, explotable mediante comisiones rogatorias internacionales.

¿Tor es suficiente, sin VPN?

Tor solo ofrece un excelente anonimato de red pero tiene lagunas críticas en un contexto periodístico. Primero, Tor es lento — inutilizable para sesiones de trabajo largas o para enviar archivos voluminosos. Segundo, el nodo de salida de Tor ve el tráfico sin cifrar si el sitio de destino no usa HTTPS. Tercero, en países que bloquean Tor (Rusia, China, Irán, Bielorrusia), se necesitan bridges obfs4/Snowflake que añaden complejidad. La combinación recomendada es VPN (Mullvad/IVPN) + Tor por encima (Tor over VPN), lo que oculta el uso de Tor a tu ISP y aísla mejor las capas de anonimato. Para una filtración crítica, añadir Tails OS en un USB físico arrancado en una máquina dedicada.

¿Signal o Wire para proteger fuentes?

Signal, en prioridad absoluta. Signal es código abierto, auditado, diseñado explícitamente para la protección de fuentes, recomendado por EFF y Freedom of the Press Foundation. Ofrece cifrado de extremo a extremo por defecto, mensajes que desaparecen y recolección mínima de metadatos. Wire es técnicamente sólido pero requiere crear una cuenta con correo electrónico o teléfono — menos adecuado para el anonimato total. Wire también cambió su modelo de negocio (adquirido por TPG Capital), lo que introduce incertidumbre sobre la durabilidad de sus garantías de privacidad. Para la comunicación con fuentes ultrasensibles, Signal con un número dedicado (SIM de prepago en efectivo, nunca asociada a tu identidad real) sigue siendo la referencia. SecureDrop para filtraciones documentales formales.

¿Cómo protejo a una fuente que me envía documentos?

Protocolo recomendado por Freedom of the Press Foundation. Primero, dirigir a la fuente hacia SecureDrop — la plataforma de código abierto diseñada para filtraciones, que no expone ni la IP de la fuente ni la tuya, y cifra todo con Tor. Si SecureDrop no está disponible, Signal con mensajes que desaparecen activados (máximo 24 horas). Para archivos: GPG/PGP o un intercambio OnionShare sobre Tor. En el lado técnico de recepción, abrir siempre los documentos sospechosos en un entorno aislado — ya sea Tails OS o una máquina virtual desconectada de Internet. Nunca abrir un PDF o documento Office desconocido en tu máquina principal: los documentos pueden contener píxeles de seguimiento o macros que exfiltran tu IP real. El error más frecuente es usar Google Drive o WhatsApp para recibir documentos sensibles.

¿El kill switch del VPN es realmente crítico?

Sí, fundamental. El kill switch corta todo el tráfico saliente si el túnel VPN cae — conexión inestable, roaming de red, reinicio de la aplicación. Sin kill switch, la reconexión VPN puede exponer tu IP real durante varios segundos. En Mullvad y en IVPN, activar el kill switch en modo sistema (no en modo aplicación): la diferencia importa. Modo sistema = todos los programas bloqueados. Modo aplicación = algunas apps pueden saltárselo sin que lo sepas. En macOS, el kill switch en modo sistema usa el firewall integrado pf, más fiable que las soluciones a nivel de aplicación. En Linux, iptables o nftables. En Windows, Mullvad y IVPN tienen implementaciones probadas y auditadas.

¿Puede mi ISP ver que uso Mullvad incluso con ofuscación?

Con la ofuscación activada (Shadowsocks u obfs4 según el proveedor), el tráfico VPN se disfraza como HTTPS estándar. Un ISP pasivo (que simplemente registra) verá conexiones HTTPS hacia IPs de terceros, sin poder identificar Mullvad. Un ISP activo con DPI avanzado puede detectar patrones estadísticos (duración de sesión, temporización, volumen), pero es un análisis sofisticado que pocos operadores despliegan fuera de un contexto estatal. En regímenes hostiles con DPI estatal (China, Rusia, Irán), los servidores ofuscados de Mullvad (bridges obfs4) siguen funcionando en junio de 2026 pero pueden bloquearse puntualmente durante eventos políticamente sensibles. Se recomienda tener Tor con bridges Snowflake como respaldo.

¿Necesito VPN tanto en el teléfono profesional como en el personal?

Sí, y deben ser dispositivos separados si tu riesgo es alto. El modelo de dos teléfonos es la norma para los periodistas que cubren temas sensibles en 2026: un dispositivo profesional dedicado a las fuentes (idealmente GrapheneOS en Pixel), y un dispositivo personal. En el teléfono profesional, VPN always-on con kill switch y DNS cifrado. Nunca mezcles los dos usos en el mismo dispositivo: las apps de consumo (redes sociales, juegos, apps bancarias) recogen metadatos del dispositivo que pueden correlacionarse con tu identidad real. En iOS, el VPN always-on es posible mediante Configuración Administrada — IVPN y Mullvad tienen perfiles preparados.

VPN para periodistas y activistas: guía OPSEC completa 2026

Trabajé con tres periodistas en su configuración OPSEC entre 2024 y 2025 — uno cubriendo los cárteles en México, una corresponsal en Hong Kong después de 2020, y un reportero con base en Moscú antes de su salida a finales de 2021. Los tres tenían algo en común: usaban VPN de consumo masivo (NordVPN, ExpressVPN), creían estar protegidos, y presentaban vulnerabilidades evidentes — fuga DNS activa en el equipo de México, sin kill switch configurado, suscripción pagada con tarjeta bancaria personal vinculada a su identidad real. Esta guía se construye sobre esos errores reales y las recomendaciones actualizadas de Freedom of the Press Foundation, EFF y Reporteros Sin Fronteras a junio de 2026.

Un VPN mainstream diseñado para Netflix no es adecuado para la protección de fuentes periodísticas. Los criterios son completamente distintos. Esta guía explica exactamente por qué, y qué herramientas usar.

1. Por qué un periodista o activista necesita un VPN específico

El modelo de amenaza de un periodista de investigación o activista en 2026 es fundamentalmente diferente al de alguien que quiere desbloquear Netflix. Cuatro vectores de riesgo principales:

Vigilancia de tráfico por parte del Estado. Las agencias de inteligencia (NSA, GCHQ, FSB, MSS) practican la recolección masiva y la correlación de tráfico: incluso sin descifrar el contenido, pueden identificar quién se comunica con quién, a qué hora y durante cuánto tiempo. Un VPN estándar no enmascara estos metadatos si su jurisdicción está sujeta a obligaciones de cooperación (Five Eyes, 14 Eyes).

Protección de fuentes. Un periodista que revela una fuente — incluso involuntariamente mediante un fallo técnico — puede poner en peligro una vida. Las fuentes contactan a menudo desde entornos no seguros. La cadena de comunicación debe estar diseñada para resistir a un adversario determinado con acceso a los datos del operador de telecomunicaciones.

Doxxing y objetivación. Los activistas son cada vez más objetivados por campañas organizadas de doxxing — exposición de la identidad real, dirección, familia. Un VPN con fuga WebRTC o fuga DNS puede exponer la IP real en cuestión de segundos mediante un enlace trampa enviado por correo electrónico o mensajería.

Correlación de identidades. Las agencias sofisticadas practican la correlación de temporización: observando los picos de tráfico entrante en un servicio (por ejemplo, una base de datos gubernamental confidencial) y los picos de tráfico saliente en tu cuenta VPN, pueden vincularte al acceso sin descifrar nada. Por eso Tor, que añade retardos aleatorios, es superior a un VPN solo para el anonimato de red completo.

Un VPN comercial de consumo masivo resuelve el caso de uso "quiero ocultar mi navegación a mi ISP local y acceder a Netflix". No resuelve "soy corresponsal en un país autoritario y protejo fuentes cuyas vidas dependen de mi discreción".

2. Criterios VPN para periodistas: lo que realmente importa

Cinco criterios no negociables, por orden de prioridad:

Sin registros estricto, auditado por un tercero independiente. No una autodeclaración, sino una auditoría realizada por Cure53, SEC Consult o equivalente — con informe público. Mullvad fue auditado por Cure53 en 2022 y 2024. IVPN fue auditado por Cure53 en 2019 y 2022. La ausencia de registros debe ser verificable a nivel de infraestructura (no solo a nivel de política).

Pago anónimo (efectivo o cripto no rastreable). Monero (XMR) o efectivo por correo postal. Un pago con tarjeta bancaria crea un vínculo entre tu identidad real y el servicio VPN, explotable mediante comisiones rogatorias. Es el vector más frecuentemente subestimado.

Multi-hop (VPN doble). El tráfico pasa por dos servidores en dos países diferentes. Incluso si un gobierno obtiene los registros de un servidor (bajo orden judicial), solo obtiene la IP del primer salto, no la IP real. Mullvad e IVPN ofrecen multi-hop sin coste adicional.

Kill switch en modo sistema, no evitable. Probado desconectando físicamente la red y forzando una reconexión. Si se produce una fuga durante la reconexión, no es un kill switch de sistema real (iptables/nftables en Linux, pf en macOS, WFP en Windows).

Jurisdicción de máxima privacidad. Suecia (Mullvad): sin obligaciones de retención de datos para proveedores VPN, jurisprudencia favorable, fuera de 5 Eyes/14 Eyes. Gibraltar (IVPN): jurisdicción offshore británica con protección de datos reforzada post-Brexit, prácticamente fuera de influencia directa. Suiza (Proton VPN): entre las leyes de protección de datos más estrictas del mundo, procedimiento de acceso legal largo y estrictamente acotado.

3. Top 3 VPN para periodistas 2026: Mullvad, IVPN, Proton VPN

Mullvad — La referencia técnica

Precio: 5 €/mes. Fijo. Sin suscripción anual, sin promociones comerciales agresivas.

Pago anónimo: Efectivo por correo postal + Monero. No se requiere correo electrónico al registrarse. La cuenta es un número de 16 dígitos generado localmente en la app — ningún dato personal en el servidor.

Auditoría: Cure53, informe público 2022 y 2024. Infraestructura sin registros verificada. Los servidores funcionan en modo sin disco (solo RAM) desde 2022 — no se puede incautar ningún dato físicamente.

Multi-hop: Disponible de forma nativa. Elegir los países de ambos nodos.

Protocolos: WireGuard (principal), OpenVPN. Ofuscación Shadowsocks disponible para países con filtrado.

Punto débil: Interfaz de escritorio menos pulida que NordVPN, apps móviles con algunas limitaciones de UI. Para perfiles técnicos, no es una restricción.

Veredicto: Primera opción para cualquier perfil de alto riesgo. La combinación de pago en efectivo + servidores sin disco + auditoría Cure53 + kill switch de sistema lo convierte en el VPN más serio del mercado en 2026 para un periodista.

IVPN — El multi-hop experto

Precio: Desde $6/mes (plan IVPN Standard) hasta $10/mes (plan Pro con multi-hop + port forwarding). Pago anual disponible.

Pago anónimo: Efectivo por correo, Monero, Bitcoin (con fricciones adicionales vs XMR). Sin correo electrónico obligatorio al registrarse.

Auditoría: Cure53, 2019 y 2022. Informe público disponible. Políticas sin registros verificadas.

Multi-hop: Más configurable que Mullvad — puedes elegir con precisión los países de entrada y salida, con varias combinaciones geográficas disponibles.

Protocolos: WireGuard, OpenVPN, IKEv2. Ofuscación mediante obfs4 y Shadowsocks.

Punto débil: Más caro que Mullvad para el multi-hop (plan Pro), conjunto de servidores más pequeño (menos de 80 servidores en ~35 países vs Mullvad con más de 700 servidores).

Veredicto: Segunda opción, ligeramente por detrás de Mullvad en volumen de servidores pero por delante en flexibilidad multi-hop. Ideal para perfiles que necesitan configurar rutas precisas.

Proton VPN — La opción accesible con nivel gratuito válido

Precio: Gratuito (ancho de banda ilimitado, 3 países, 1 dispositivo) / Plus desde $4/mes.

Pago anónimo: No disponible en planes de pago — Proton VPN Plus requiere una cuenta de correo Proton, aunque puede ser una cuenta ProtonMail seudónima.

Auditoría: SEC Consult (2022), código abierto (todas las apps disponibles públicamente en GitHub y verificables).

Secure Core: Multi-hop específico de Proton VPN — el tráfico pasa primero por un servidor en un país de alta protección (Suiza, Islandia, Suecia) antes de salir. Disponible en planes de pago.

Punto débil: Pago no anónimo en planes de pago. Sin servidores sin disco declarados. Interfaz a veces más compleja.

Veredicto: Opción legítima para perfiles que aceptan una identidad seudónima (correo ProtonMail + VPN Proton). El nivel gratuito ilimitado es único y valioso para periodistas en regiones con escasos recursos. Tercera opción pero sólida.

Nota editorial: Estos tres VPN no tienen programa de afiliación con AnonymFlow. Esta recomendación es puramente editorial, sin conflicto de interés comercial. Por eso están en esta lista — y por eso NordVPN, Surfshark o ExpressVPN no aparecen para este caso de uso específico. Ver nuestro análisis Mullvad vs IVPN 2026 para la comparativa técnica detallada.

4. Stack OPSEC completo: VPN + Tor + Tails + Signal + VeraCrypt

Un VPN solo no es suficiente. El stack completo:

Capa de red: Mullvad o IVPN con kill switch de sistema + DNS sin registros. Esta es la base permanente.

Capa de anonimato reforzado: Tor Browser por encima del VPN (Tor over VPN). El VPN oculta el uso de Tor a tu ISP; Tor aísla la IP real del nodo de salida. Utilizado para navegar por sitios sensibles, verificar información a través de fuentes en .onion, y comunicarse a través de SecureDrop.

Capa de comunicación con fuentes: Signal con número dedicado (SIM de prepago en efectivo, nunca activada con identidad real). Mensajes que desaparecen activados, duración máxima 24h para intercambios de trabajo. Para filtraciones documentales formales: SecureDrop.

Capa de OS seguro: Tails OS (Linux amnésico) en un USB físico. Tails arranca sin dejar rastro en la máquina anfitriona, enruta todo el tráfico a través de Tor y borra la RAM al apagarse. Indispensable para abrir documentos sospechosos o para las sesiones de trabajo más sensibles.

Capa de almacenamiento: VeraCrypt para volúmenes cifrados locales. Cryptomator para el cifrado transparente de archivos en la nube (si la nube es necesaria). Nunca almacenar notas de fuentes, contactos sensibles o documentos sin cifrar en el disco principal.

Cómo combinarlos: Para una sesión de trabajo ordinaria con fuentes de baja sensibilidad — VPN Mullvad activo es suficiente. Para una sesión que involucre una fuente de alto riesgo — Tails OS + Tor Browser + Signal. Para recibir un documento filtrado — Tails OS + OnionShare + verificación en VM aislada antes de abrirlo en la máquina principal.

5. Errores críticos OPSEC que evitar absolutamente

Fuga DNS. Incluso con VPN activo, si el DNS no pasa por el túnel VPN, las consultas DNS revelan los sitios visitados a tu ISP. Verificar con dnsleaktest.com: solo deben aparecer los servidores DNS del VPN. Mullvad e IVPN configuran el DNS automáticamente, pero verificar después de cada actualización de la app.

Fuga WebRTC. Los navegadores modernos (Chrome, Firefox) pueden exponer la IP real mediante WebRTC incluso con VPN activo. Desactivar WebRTC en Firefox: about:config → media.peerconnection.enabled = false. En Chrome, usar la extensión WebRTC Network Limiter. Verificar con ipleak.net.

Reconexión VPN sin kill switch. El peor momento: el túnel VPN cae durante una sesión activa (red inestable, cambio de WiFi, batería baja). Sin kill switch de sistema, el tráfico se reanuda con la IP real durante la reconexión. Este retraso de unos pocos segundos es suficiente para exponer la IP real a un observador activo.

Metadatos de archivos. Un documento Word, PDF o imagen puede contener metadatos (nombre del autor, hora de creación, geolocalización en fotos) que revelan la identidad o ubicación de la fuente. Siempre eliminar los metadatos antes de la transmisión con exiftool -all= archivo.pdf o MAT2 en Tails.

Correlación de temporización. Si se produce una filtración a las 14:37 y estás conectado a tu VPN a las 14:37, la correlación es posible. Para operaciones críticas, usar Tor que añade retardos aleatorios. No conectarse a servicios personales (correo personal, redes sociales) durante una sesión VPN dedicada a una fuente.

Fingerprinting del navegador. Tu navegador es identificable incluso sin cookies ni IP, a través de la combinación de fuentes instaladas, resolución de pantalla, idioma y plugins activados. Tor Browser normaliza estos parámetros. Para otros usos, Firefox con configuración reforzada (uBlock Origin, Canvas Blocker, Privacy Badger).

6. Si operas en un régimen hostil

Para China, Rusia, Irán, Cuba, EAU, Bielorrusia, Turquía — los VPN de consumo pueden estar bloqueados a nivel DPI. Se necesita configuración adicional:

Ofuscación: Mullvad con Shadowsocks disfraza el tráfico VPN como HTTPS estándar. IVPN con obfs4 hace lo mismo. Activar estos protocolos antes de llegar al país — la interfaz de configuración puede ser inaccesible desde una IP bloqueada.

Bridges de Tor: Si Tor directo está bloqueado (China, Rusia, Irán), usar bridges obfs4 o Snowflake — nodos de entrada de Tor no listados públicamente. Bridges disponibles en bridges.torproject.org o por correo electrónico a bridges@torproject.org.

Protocolos ocultos: Mullvad soporta proxy SOCKS5 como respaldo. IVPN soporta el modo AntiCensor. Proton VPN soporta el protocolo Stealth (WireGuard tunelizado en TLS) en planes de pago.

eSIM internacional: En China especialmente, una eSIM enrutada vía Hong Kong (Airalo) puede eludir parte del DPI nacional — el tráfico pasa por la red socia internacional antes de entrar en la red china. Ver nuestra guía VPN zonas censuradas 2026.

Tails + bridges: La configuración más robusta en un régimen hostil: Tails OS + Tor con bridges Snowflake + VPN Mullvad Shadowsocks. Cada capa compensa las debilidades de las otras.

Instalar ANTES de entrar en el país: Los sitios de descarga de Mullvad, IVPN, Proton VPN y el Tor Browser están bloqueados en China, Rusia e Irán. Es imposible instalarlos una vez dentro sin otro VPN funcional. Preparar un USB con todos los instaladores.

7. Recursos oficiales indispensables

Freedom of the Press Foundation (FPF) — freedom.press: guías OPSEC para periodistas, formación digital, mantenimiento de SecureDrop. Recurso principal.

SecureDrop — securedrop.org: plataforma de código abierto para envío de filtraciones. Si tu redacción aún no la ha desplegado, es la primera inversión a realizar.

Electronic Frontier Foundation (EFF) — eff.org/surveillance-self-defense: Surveillance Self-Defense, guía práctica por nivel de amenaza.

Amnesty International Digital Security Lab — guías específicas por país, incluidos los regímenes hostiles.

Reporteros Sin Fronteras — rsf.org: Índice anual de Libertad de Prensa + recursos de seguridad digital.

Tails OS — tails.boum.org: OS amnésico recomendado. Procedimiento de instalación y verificación de integridad en el sitio oficial.

Tor Project — torproject.org: descarga de Tor Browser, bridges, documentación.

Para profundizar en las comparaciones técnicas entre los VPN privacy-maxxer, leer nuestro análisis Mullvad vs IVPN 2026. Para entender cómo Tor y VPN se combinan a nivel de protocolo, ver nuestra guía Tor vs VPN 2026. Y para el contexto de los países con filtrado activo, nuestra guía VPN zonas censuradas detalla las configuraciones por país a mayo de 2026.

★ Audit Deloitte 2024 · ✓ Garantie 30 jours · 14M+ utilisateurs (source : NordVPN press)

Probar NordVPN30 jours satisfait ou remboursé→