Actualización del 19 de septiembre de 2025: este artículo ha sido actualizado para incluir la última auditoría de nuestra política de cero registros realizada por Securitum. Se incluyen enlaces a todas nuestras auditorías de la política de cero registros.

Nos complace anunciar que Proton VPN ha superado una cuarta auditoría anual consecutiva de terceros de nuestra infraestructura que confirma nuestra estricta política de cero registros. Cuando decimos que somos una VPN sin registros, no es solo una afirmación: ha sido verificada dos veces por expertos independientes.

Como organización fundada por científicos que se conocieron en el CERN, creemos en la revisión por pares y la transparencia. Esta es también la razón por la que hacemos que todas nuestras aplicaciones sean de código abierto para que cualquiera pueda examinar nuestro código.

Por supuesto, entendemos que no todo el mundo tiene el tiempo o las habilidades para inspeccionar el código por sí mismo. Por eso, además de nuestras auditorías internas, sometemos regularmente nuestras aplicaciones a auditorías de seguridad de terceros(ventana nueva) y hacemos públicos los resultados. De esta manera, todo el mundo puede obtener la opinión de un experto independiente sobre la seguridad de nuestras aplicaciones.

En la auditoría de seguridad más reciente de todas las aplicaciones de Proton(ventana nueva), los expertos en seguridad de Securitum(ventana nueva), una empresa europea líder en auditoría de seguridad que supervisa más de 300 proyectos de pruebas de seguridad cada año para grandes corporaciones y bancos, no descubrieron problemas de seguridad significativos. Esto demuestra que las auditorías internas de Proton y la cultura de desarrollo de software seguro son efectivas. Y debido a que el código de nuestras aplicaciones es totalmente de código abierto, nuestra seguridad se ve reforzada por nuestro programa de recompensas por errores(ventana nueva), que reúne a expertos en seguridad de todo el mundo para verificar nuestras aplicaciones.

Sin embargo, con un servicio VPN, también es importante verificar lo que está sucediendo en el lado del servidor, y no solo en el lado de la aplicación.

Por qué es importante verificar la política de cero registros de una VPN

Cuando te conectas a una VPN, esta se convierte efectivamente en tu proveedor de internet, lo que significa que cualquier proveedor de VPN es técnicamente capaz de rastrear y registrar lo que haces online. Aunque muchas VPN afirman tener políticas de cero registros, estas políticas no siempre se sostienen cuando se ponen a prueba.

La estricta política de cero registros de Proton VPN fue probada en un caso legal en 2019. Se nos ordenó entregar registros para ayudar a identificar a un usuario, pero no pudimos cumplir porque estos registros no existían. La jurisdicción suiza de Proton VPN también confiere beneficios adicionales para los servicios VPN. Por ejemplo, dentro del marco legal suizo actual, Proton VPN no tiene requisitos de registro. Sin embargo, existe la posibilidad de que una configuración incorrecta del servidor o una arquitectura del sistema defectuosa puedan hacer que los registros se almacenen accidentalmente.

Para abordar esto, hemos pedido a Securitum que realice exámenes exhaustivos y regulares de nuestra infraestructura y operaciones del lado del servidor. Cada año, los expertos en seguridad de Securitum pasaron varios días in situ revisando nuestros archivos de configuración de VPN y configuraciones de servidores, evaluando nuestros procedimientos operativos y entrevistando a nuestro personal. Sus auditorías anuales son extensas y verificaron lo siguiente:

  • ¿Se rastrea o registra la actividad del usuario en los servidores VPN de producción que manejan el tráfico de usuarios?
  • ¿Se registran los metadatos de conexión, como las consultas DNS o las marcas de tiempo de sesión, en los servidores VPN?
  • ¿Se inspecciona activamente el tráfico de red del usuario o se registran sus contenidos en los servidores VPN?
  • ¿Se monitorea o registra información sobre los servicios específicos (por ejemplo, sitios web, servidores externos) a los que se conecta un usuario?
  • ¿Se mantienen registros agregados que correlacionen los servicios accedidos (por ejemplo, sitios web, servidores) con el servidor VPN específico utilizado?
  • ¿Se aplica la política de cero registros de manera uniforme en todos los servidores, en todas las regiones geográficas y a todos los niveles de suscripción de usuarios?
  • ¿Existe un proceso automatizado para detectar y generar alertas por cambios de configuración no autorizados que podrían habilitar el registro (por ejemplo, cambiar un parámetro “log” de false a true)?
  • ¿Se aplica un proceso formal de gestión de cambios, incorporando un principio de control dual (cuatro ojos), para todos los cambios autorizados en las configuraciones relacionadas con el registro?
  • ¿Los archivos de configuración activos para los servicios VPN principales contienen directivas de registro habilitadas?
  • ¿Se registra información que asocie a un usuario específico con un servidor VPN específico al que esté conectado?

Los informes resultantes confirman que no guardamos ningún registro de metadatos, no registramos tu actividad de VPN y no participamos en ninguna práctica que pueda comprometer tu privacidad.

Los informes también confirman que, a medida que Proton VPN añade más funciones y funcionalidades a nuestro servicio, esto no afecta de ninguna manera a nuestra estricta política de cero registros. Como concluye el último informe (2025):

“La evidencia técnica revisada no mostró instancias de registro de actividad del usuario, almacenamiento de metadatos de conexión o inspección de tráfico de red que contradijeran la política de cero registros. Además, la auditoría verificó la implementación de controles administrativos y técnicos robustos, incluyendo la gestión automatizada de la configuración y un proceso formal de cambio de control dual, que están diseñados para garantizar la integridad continua del entorno sin registros.

Basándose en estos hallazgos, Securitum certifica que el servicio Proton VPN, tal como estaba configurado en el momento de la auditoría, cumple plenamente con los compromisos de privacidad descritos en su política de cero registros”.

Puedes leer el informe completo más reciente de Securitum a continuación:

En línea con las recomendaciones de Securitum, esta es ahora la tercera auditoría anual consecutiva de nuestra política de cero registros. También puedes leer nuestras auditorías de cero registros pasadas realizadas por Securitum:

Confianza mediante la transparencia

En Proton, creemos que todas las afirmaciones deben ser investigadas y verificadas, incluidas las nuestras. En el futuro, continuaremos realizando auditorías de seguridad periódicas y publicando los resultados para que puedas leer el informe de un profesional de seguridad independiente antes de confiarnos tus datos.

Si eres un investigador de seguridad, también te invitamos a apoyar la seguridad en Proton a través de nuestro programa de recompensas por errores(ventana nueva), que ofrece generosas recompensas a cualquiera que pueda identificar vulnerabilidades en nuestros servicios de código abierto.

Regístrate en Proton VPN(ventana nueva) para obtener una VPN transparente, de código abierto, con política de cero registros totalmente auditada y que respeta tu privacidad