1000027293
Redes

Definiendo nuestra estrategia de privacidad

  • 02/03/2026
Diagrama de estrategia de privacidad digital: modelado de amenazas, configuración de VPN, integración con AdGuard Home y Pi-Hole, y análisis de riesgos por dispositivo.

Tras el artículo sobre «Endurecimiento de la Privacidad en Red«, he quedado bastante impresionado sobre el avance y evolución que están teniendo los servicios VPN. Si sumamos que es uno de los temas más recurrentes cuando se aborda cualquier aspecto relacionado con seguridad y privacidad; he pensado dedicarle una serie de artículos específicos.

Mi idea es empezar desde cero. Empezando por el tipo de servicio que podemos llevar a necesitar en función de nuestro «modelo de amenaza«, pasando por aspectos jurídicos y técnicos a valorar y acabando por evaluar la oferta existente.

Contexto

La implementación de una VPN (Virtual Private Network) suele abordarse desde perspectivas comerciales, adquiriendo servicios por recomendación publicitaria o cuestión de precio sin ningún análisis previo. Sin embargo, en el ámbito de la seguridad, la efectividad de una herramienta depende exclusivamente de su adecuación al Modelo de Amenaza del usuario.

El Modelo de Amenaza

​Un modelo de amenaza es un ejercicio de realismo técnico. Consiste en identificar qué datos queremos proteger, de quién queremos protegerlos y qué recursos estamos dispuestos a invertir. Hay que tratar de evitar el «matar moscas a cañonazos» y buscar siempre un equilibrio entre usabilidad y protección.

Cómo determinar tu modelo

Para definirlo, debemos responder a cuatro preguntas críticas:​

  1. ¿Qué quiero proteger?: Metadatos de navegación, IP real, acceso a servicios geobloqueados, integridad de archivos…
  2. ​¿De quién me protejo?: ISP local, redes Wi-Fi públicas, recolección de datos publicitarios, algún tipo de vigilancia…
  3. ¿Cuál es el escenario probable donde recibir ataques?: En la navegación cotidiana, manejo de información, activismo político – social…
  4. ¿Qué consecuencias tendría un fallo de seguridad?: Exponer mis hábitos de consumo, identidad real, archivos críticos…

Un usuario que solo busca evitar el rastreo o perfilado publicitario, no necesita la misma configuración que un periodista o activista

Alcance de una VPN: Capacidades y Limitaciones​

Es un error común atribuir a la VPN capacidades de anonimato total. Es necesario delimitar sus funciones reales: ​

Lo que SÍ proporciona:

  • Ocultación de la IP origen frente al servidor de destino.
  • Cifrado del tráfico.
  • Cambio de ubicación geográfica
  • Mitigación de ataques en redes locales inseguras.​

Lo que NO proporciona:

  • No protege contra el Fingerprinting (huella digital del navegador).
  • No evita el rastreo mediante cookies.
  • No inmuniza contra descargas de Malware.
  • No garantiza el anonimato si posteriormente iniciamos sesión en servicios personales (Google, Facebook, Twitter, etcétera.).

Ecosistema Personal​

La necesidad de una VPN varía según el hardware y el contexto de uso:

  • Dispositivos Móviles: El riesgo principal es la conexión constante a redes desconocidas y el cambio entre 5G y Wi-Fi. Se requiere un protocolo ligero (WireGuard) y una gestión eficiente del consumo de batería.
  • PC/Estaciones de Trabajo: Es el entorno donde se maneja la información más sensible. Aquí la prioridad es el Kill Switch (cortar la conexión si cae la VPN) y gestionar bien el Split tunneling (qué programas se ejecutan dentro de la VPN y cuales no). Por ejemplo: Email siempre dentro mientras que los juegos siempre fuera.​
  • Smart TV / Streaming: El modelo de amenaza es mínimo (bloqueo de publicidad, evasión de bloqueos geográficos). No requiere ofuscación agresiva, sino ancho de banda y servidores optimizados para vídeo.​

Operativa: ¿Cuándo activar el túnel?

​La seguridad no debe comprometer la funcionalidad. El uso constante de una VPN no siempre es la mejor práctica:​

  • Uso On-Demand: Activar la VPN solo para tareas específicas (banca, descargas P2P, acceso a redes públicas o contenido restringido).​
  • Always-on (Siempre activa): Recomendado solo en modelos de amenaza alta o cuando se busca evitar sistemáticamente el perfilado de datos del ISP.​
  • Split Tunneling (Túnel dividido): Una técnica esencial que permite enviar solo el tráfico crítico por la VPN, mientras que servicios que requieren baja latencia o IPs locales (como videojuegos o domótica) salen por la red normal.

​Integración con nuestra Red y Servicios​

Una VPN mal integrada puede generar conflictos de resolución de nombres o fugas de datos.​

DNS: Pi-Hole y AdGuard Home​

Si utilizas bloqueadores de publicidad a nivel de red como Pi-Hole o AdGuard Home, la VPN puede anularlos si no se configura correctamente.​ Configura el cliente VPN para que utilice la IP local de tu instancia de Pi-Hole como servidor DNS, o integra la VPN directamente en el router.​

Navegadores y Extensiones​

El uso de una VPN debe coordinarse con el navegador. Es imperativo desactivar WebRTC para evitar fugas de IP y asegurar que el navegador utilice DoH (DNS over HTTPS) si la VPN no gestiona el cifrado DNS de forma nativa.​

Routers y Gateways​

Instalar la VPN en el router (como cliente) simplifica la gestión, pero requiere hardware con capacidad de procesamiento criptográfico (AES-NI o procesadores ARM modernos) para no limitar la velocidad de la conexión FTTH.​

El cifrado AES-256 en OpenVPN y WireGuard es muy demandante de CPU. Sin un Router con aceleración hardware, las velocidades en un enlace de 1 Gbps pueden llegar a caer hasta 50-200 Mbps, mientras que en caso de disponer de él, fácilmente se alcanzan 500-900 Mbps reales.

Conclusiones

El primer paso para la resiliencia digital no es contratar la VPN más «top» o la más recomendada (un usuario doméstico no necesita multi-hop ni acceder vía Tor si lo único que busca es ver la versión estadounidense de Netflix desde España), sino entender dónde pueden aparecer grietas en función de nuestro «modelo de amenaza» y el ecosistema de dispositivos y redes que pretendemos utilizar. Una vez determinado todo ello, podemos pasar a la fase de selección técnica de protocolos e infraestructura.

Mejores Prácticas Iniciales

  • Audita tu modelo de amenaza mensualmente: ¿Cambió tu rutina (nuevo trabajo remoto)?
  • Utiliza primero la prueba gratuita de 30 días que suelen ofrecer: Mide la velocidad real con y sin VPN.
  • Verifica que no haya fugas DNS:
HerramientaFunción PrincipalEnlace
IP LeakDetección de fugas de IP, IPv6 y WebRTC.ipleak.net ↗
Browser LeaksAnálisis de huella digital y APIs del navegador.browserleaks.com ↗
DNS Leak TestIdentificación de fugas en peticiones DNS.dnsleaktest.com ↗

* En móviles, desliza la tabla horizontalmente para ver todos los datos.

  • Rota entre servidores: Utilizar siempre los mismos aumenta el riesgo de que alguna IP acabe en listas negras y bloqueada.

Tags:

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *


Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

alt43
Powered by  GDPR Cookie Compliance
Resumen de privacidad

Esta web utiliza cookies para que podamos ofrecerte la mejor experiencia de usuario posible. La información de las cookies se almacena en tu navegador y realiza funciones tales como reconocerte cuando vuelves a nuestra web o ayudar a nuestro equipo a comprender qué secciones de la web encuentras más interesantes y útiles.