🌙 LATE NIGHT MODE ACTIVATED — THE CLOWN IS WATCHING 🌙
InicioRecursosPrivacidad → No-Logs

Qué significa "sin logs"
de verdad.

La frase más afirmada y menos verificada del marketing VPN. Aquí va cómo leerla, quién la cumple de verdad, y cuáles son las opciones de verificación.

Qué debería significar "sin logs"

Un proveedor VPN que afirma "sin logs" debería significar: no retienen ningún dato sobre tu uso del VPN que pudiera usarse para identificarte a ti, tus destinos, tus tiempos, o tu actividad. En concreto:

  • Sin log de tu dirección IP de origen.
  • Sin log de qué sitios o IPs visitaste por el túnel.
  • Sin log de consultas DNS.
  • Sin log del bandwidth usado por sesión.
  • Sin log de timestamps de inicio/fin de sesión.
  • Sin log de a qué servidor te conectaste.

Esa es la versión estricta. La mayoría de empresas VPN tienen una interpretación más débil — y la brecha entre marketing y realidad es donde los usuarios se queman.

Las tres categorías de afirmación "no-log"

1. No-logs basado en política

"Tenemos una política de no loguear el tráfico VPN." Es la afirmación más común. El logging está habilitado a nivel servidor/protocolo por defecto; el proveedor tiene procedimientos para borrar o no retener logs. El riesgo: un error de config, un empleado deshonesto, o cumplimiento forzado pueden producir logs que la política decía que no existirían.

2. No-logs basado en arquitectura

"Hemos configurado nuestros servidores para que el logging esté deshabilitado a nivel protocolo." Los datos nunca se escriben a disco de entrada. Aunque te fuercen, no hay nada que entregar porque nunca se grabó nada.

Esto es lo que hacemos en ClownVPN. WireGuard tiene el logging deshabilitado por config. Los servidores corren en RAM-disk así que los reboots borran todo el estado. No hay sistema de logging que citar.

3. No-logs auditado

Una firma de terceros (PwC, Deloitte, KPMG, Cure53, Securitum) ha revisado la infraestructura del proveedor y confirmado la afirmación. Los resultados de la auditoría se suelen publicar como informe.

Este es el estándar de oro, pero no está sin límites. Una auditoría es una foto puntual en el tiempo — el proveedor podría cambiar su config al día siguiente. La mayoría de proveedores se re-auditan anualmente para dar garantía continua.

No-logs auditado es lo que llevan NordVPN, ExpressVPN, ProtonVPN, Surfshark y Mullvad. ClownVPN todavía no ha sido auditado (previsto para finales de 2026).

Lee la política de verdad

El titular de una afirmación "sin logs" es marketing. La página de la política es donde están los términos reales. Cosas que mirar en la política de privacidad de verdad:

  • La palabra "logs" usada con precisión. "Sin logs de tráfico" es más estrecho que "sin logs". "Sin logs de uso" es aún una tercera interpretación.
  • Qué SÍ se recoge. La mayoría de proveedores recogen algún dato operativo — email para crear cuenta, estadísticas agregadas de servidor, reportes de crash. Los honestos los listan en detalle.
  • Ventanas de retención. "No guardamos logs más de 30 días" no es lo mismo que "no guardamos logs".
  • Divulgaciones jurisdiccionales. ¿Dónde está basado el proveedor? ¿Aplican leyes locales de retención de datos?
  • Procedimientos de divulgación forzada. ¿Qué pasa si el proveedor recibe una citación?

La mayoría de proveedores tienen políticas de privacidad con sustancia si las lees. La mayoría de usuarios solo ojea el titular. Lee el documento de verdad de los proveedores que consideres.

Qué se loguea incluso en proveedores "sin log"

Los proveedores honestos te dirán de entrada que algunos datos son inevitables de recoger. Categorías comunes:

  • Email de cuenta + info de pago. Cualquier VPN con cuentas de usuario tiene esto. Nosotros no tenemos cuentas — es uno de nuestros diferenciadores.
  • Estadísticas agregadas de servidor. Total de usuarios conectados, horas pico de carga, bandwidth usado en agregado. No atado a ningún usuario individual.
  • Reportes de crash. Stack traces, clase de dispositivo, IDs de instalación anonimizados. Usados para arreglar bugs.
  • Datos de marketing en la web. La mayoría de webs VPN usan Google Analytics o similar. Nosotros no.

Nuestra política lista explícitamente todos estos (ver /es/privacy/ secciones 3-4). Los honestos hacen lo mismo.

Incidentes históricos de "pillados mintiendo"

Unas pocas veces en la historia VPN, proveedores "sin log" han sido pillados con logs:

  • HMA (Hide My Ass), 2011. Entregó logs al FBI en una investigación de LulzSec pese a una política declarada de no-log. Escándalo grande en su momento. Moldeó las expectativas de la industria.
  • PureVPN, 2017. Entregó logs de conexión al FBI en una investigación de acoso. Su marketing no-log era técnicamente más estrecho de lo que los usuarios creían. La industria tomó nota.
  • IPVanish, 2018. Entregó logs al DHS en una investigación de explotación infantil. Pese al marketing "cero logs", tenían logs. Siguió un cambio de propiedad + ciclo de auditoría.

Estos incidentes son por qué existen las auditorías. También son por qué "política" sin arquitectura es una afirmación frágil.

Nuestra posición

Somos no-logs arquitectural pero todavía sin auditar. En concreto:

  • WireGuard corre con el logging deshabilitado a nivel config.
  • Los filesystems de servidor son solo RAM-disk.
  • Las consultas DNS se empujan por el 1.1.1.1 de Cloudflare vía el túnel — no corremos nuestro propio DNS, así que nunca vemos las consultas.
  • Sin cuentas de usuario significa sin identidad atada a las sesiones.
  • Sí retenemos reportes de crash anónimos (90 días) y estadísticas agregadas de servidor — totalmente declarado en /es/privacy/.
  • Auditoría de terceros prevista para finales de 2026.

Hasta que estemos auditados, nuestras afirmaciones descansan sobre decisiones arquitecturales que están documentadas pero no verificadas por terceros. Es una posición de confianza más débil que la de NordVPN o ProtonVPN. Somos honestos sobre ello.

Cómo evaluar la afirmación no-log de un VPN

Checklist rápido:

  1. Lee la política de privacidad, no solo la página de marketing.
  2. Busca un informe de auditoría. Si lo hay, ¿de qué firma? ¿Qué año? ¿Es continuo o de una sola vez?
  3. Comprueba la jurisdicción. Los países Five Eyes / Fourteen Eyes tienen acuerdos de intercambio de inteligencia; algunos usuarios prefieren proveedores fuera de ellos.
  4. Mira la empresa operadora. ¿Independiente? ¿Propiedad de una entidad mayor (Kape, McAfee, etc.)?
  5. Busca cualquier incidente histórico (quejas a la FTC, retiradas de app stores, cobertura mediática de divulgaciones forzadas).

Lectura relacionada

🎪 Preguntas frecuentes

¿Han pillado a algún VPN mintiendo sobre el no-logs?
Sí, a varios. A HMA lo pillaron entregando logs a las autoridades en un caso de 2011. PureVPN entregó logs al FBI en 2017 pese a una política declarada de no-logs. Ambos incidentes son anteriores a las prácticas de auditoría actuales, pero moldearon las normas de transparencia de la industria. Las políticas no-log modernas son más fuertes porque el listón se movió.
¿Cuál es la diferencia entre 'sin logs' y 'sin logs de tráfico'?
'Sin logs de tráfico' es una afirmación más estrecha — no loguean qué haces en internet, pero podrían loguear metadatos de conexión (cuándo te conectaste, cuánto bandwidth, qué servidor). 'Sin logs' es una afirmación más fuerte que debería incluir los metadatos de conexión. Lee el texto de la política, no solo el titular.
¿A un VPN no-log se le puede citar judicialmente igual?
Sí — cualquier empresa en cualquier jurisdicción puede recibir una orden judicial. El punto del no-logs es que no hay nada útil que entregar. Hemos documentado exactamente qué tendríamos y qué no en nuestra página de auditoría. No-logs arquitectural significa que la citación devuelve un dataset esencialmente vacío.
¿Por qué no auditan más VPNs su no-logs?
Coste y complejidad. Una auditoría real significa una firma independiente revisando configs de servidor, muestreando tráfico de producción, examinando el código. Los VPN grandes (NordVPN, ExpressVPN, ProtonVPN) absorben el coste como ventaja competitiva. Los VPN más pequeños (nosotros incluidos, por ahora) lo aplazan hasta poder hacerlo bien. La auditoría está en nuestra hoja de ruta.
¿Qué es un 'warrant canary' y ClownVPN tiene uno?
Un warrant canary es una declaración pública de que un servicio NO ha recibido ciertas órdenes gubernamentales, actualizada con regularidad. Si el canary deja de actualizarse, los usuarios saben que algo ha cambiado (sin que el proveedor viole una orden de mordaza). Todavía no hemos publicado uno — son complejos de operar correctamente, y queremos hacerlo bien o no hacerlo. La mayoría de VPN de consumo tampoco tienen canaries; quienes los usan en serio son servicios como Mullvad.

🎪 Mira los recibos

Nuestra auditoría no-log está en /es/no-logs/ — transparencia total sobre qué recogemos y qué no.

📋 Lee la auditoría 🤖 Descargar la app