Nota del editor: este artículo se ha actualizado para presentar la auditoría más reciente de nuestra política de cero registros realizada por Securitum. Se incluyen enlaces a todas las auditorías de nuestra política de cero registros.
Nos complace anunciar que Proton VPN ha superado por quinto año consecutivo una auditoría anual externa de nuestra infraestructura que confirma nuestra estricta política de cero registros. Cuando decimos que somos una VPN sin registros, no es solo una afirmación: ha sido verificada por expertos independientes.
Muchos de nuestros competidores nunca se han sometido a una auditoría independiente o han recurrido a trucos de prestidigitación, auditando su política de privacidad en lugar de su infraestructura real de cero registros. E incluso cuando sus afirmaciones de cero registros han sido verificadas de manera independiente mediante una auditoría, muchos no publican los resultados, le exigen firmar un acuerdo de confidencialidad para acceder a ellos, solo los ponen a disposición de clientes de pago o, de algún otro modo, dificultan su lectura.
Por el contrario, Proton VPN publica abiertamente el informe completo de cero registros para que cualquiera lo lea. Como organización fundada por científicos que se conocieron en el CERN, creemos en la revisión por pares y en la transparencia. Por esta razón también hacemos que todas nuestras aplicaciones sean de código abierto, para que cualquiera pueda examinar nuestro código.
Por supuesto, entendemos que no todo el mundo tiene el tiempo o las habilidades para inspeccionar el código por sí mismos. Es por eso que, además de nuestras auditorías internas, sometemos regularmente nuestras aplicaciones a auditorías de seguridad de terceros(nueva ventana) y hacemos públicos los resultados. De esta manera, todos pueden obtener la opinión de un experto independiente sobre la seguridad de nuestras aplicaciones.
En la auditoría de seguridad más reciente de todas las aplicaciones de Proton(nueva ventana), los expertos en seguridad de Securitum(nueva ventana), una empresa europea líder en auditoría de seguridad que supervisa más de 300 proyectos de pruebas de seguridad al año para grandes corporaciones y bancos, no descubrieron problemas de seguridad significativos. Esto demuestra que las auditorías internas de Proton y la cultura de desarrollo de software seguro son eficaces. Y debido a que el código de nuestras aplicaciones es completamente de código abierto, nuestra seguridad se ve reforzada por nuestro programa de recompensas por errores(nueva ventana), que reúne a expertos en seguridad de todo el mundo para revisar nuestras aplicaciones.
Sin embargo, con un servicio VPN, también es importante verificar qué está sucediendo del lado del servidor, y no solo del lado de la aplicación.
Por qué es importante verificar la política de cero registros de una VPN
Cuando se conecta a una VPN, efectivamente se convierte en su proveedor de internet, lo que significa que cualquier proveedor de VPN es técnicamente capaz de rastrear y registrar lo que hace en línea. Si bien muchas VPN afirman tener políticas de cero registros, estas políticas no siempre se mantienen cuando se ponen a prueba.
La estricta política de cero registros de Proton VPN ha sido probada en más de 400 casos legales hasta el momento. Se nos ordenó entregar registros para ayudar a identificar a nuestros usuarios, pero no pudimos cumplir con la solicitud porque estos registros no existían.
La jurisdicción suiza de Proton VPN también confiere beneficios adicionales para los servicios de VPN. Por ejemplo, dentro del marco legal suizo actual, Proton VPN no tiene ningún requisito de registro. Sin embargo, sigue existiendo la posibilidad de que una configuración incorrecta del servidor o una arquitectura del sistema defectuosa provoquen que los registros se almacenen de forma accidental.
Para abordar esto, le hemos pedido a Securitum que realice análisis exhaustivos periódicos de nuestra infraestructura y operaciones del lado del servidor. Cada año, los expertos en seguridad de Securitum pasan varios días en nuestras instalaciones revisando los archivos de configuración de nuestra VPN y las configuraciones del servidor, evaluando nuestros procedimientos operativos y entrevistando a nuestro personal. Sus auditorías anuales son extensas y verifican lo siguiente:
- ¿Se rastrea o registra la actividad del usuario en los servidores VPN de producción que manejan el tráfico de usuarios?
- ¿Se registran los metadatos de conexión, como consultas DNS o marcas de tiempo de sesión, en los servidores VPN?
- ¿Se inspecciona activamente el tráfico de red del usuario, o se registran sus contenidos en los servidores VPN?
- ¿Se monitorea o registra información sobre los servicios específicos (por ejemplo, sitios web, servidores externos) a los que se conecta un usuario?
- ¿Se mantienen registros agregados que correlacionan los servicios accedidos (por ejemplo, sitios web, servidores) con el servidor VPN específico utilizado?
- ¿Se aplica la política de cero registros de manera uniforme en todos los servidores, en todas las regiones geográficas y en todos los niveles de suscripción de los usuarios?
- ¿Existe un proceso automatizado para detectar y generar alertas por cambios de configuración no autorizados que podrían activar el registro (por ejemplo, cambiar el parámetro “log” de false a true)?
- ¿Se aplica un proceso formal de gestión de cambios que incorpore el principio de control dual (doble control) para todos los cambios autorizados en las configuraciones relacionadas con el registro?
- ¿Los archivos de configuración activos para los servicios VPN centrales contienen directivas de registro activadas?
- ¿Se registra información que asocia a un usuario específico con un servidor VPN específico al que está conectado?
Los informes resultantes confirman que no conservamos ningún registro de metadatos, no registramos su actividad de VPN y no realizamos prácticas que puedan comprometer su privacidad. Los informes también confirman que, a medida que Proton VPN agrega más funciones a nuestro servicio, esto de ninguna manera afecta nuestra estricta política de cero registros. Como concluye el último informe (2026):
“La evidencia técnica revisada durante la evaluación no indicó que la infraestructura de servidores de Proton VPN examinada registre la actividad de navegación de los usuarios, las consultas de DNS, los servicios de destino, el contenido del tráfico de red o los metadatos de conexión que identifiquen al usuario. Securitum tampoco identificó registros persistentes que permitieran a Proton asociar a un usuario específico con la actividad realizada a través de un servidor de VPN revisado”.
Puede leer el último informe completo de Securitum a continuación:
De acuerdo con las recomendaciones de Securitum, esta es ya la quinta auditoría anual consecutiva de nuestra política de cero registros. También puede leer nuestras auditorías de cero registros anteriores realizadas por Securitum:
- Auditoría de cero registros de Proton VPN de 2025(nueva ventana)
- Auditoría de cero registros de Proton VPN de 2024(nueva ventana)
- Auditoría de cero registros de Proton VPN de 2023(nueva ventana)
- Auditoría de cero registros de Proton VPN de 2022(nueva ventana)
Confianza a través de la transparencia
En Proton, creemos que todas las afirmaciones deben ser investigadas y verificadas, incluidas las nuestras. De ahora en adelante, continuaremos realizando auditorías de seguridad regulares y publicando los resultados para que pueda leer el informe de un profesional de seguridad independiente antes de confiarnos sus datos.
Si es un investigador de seguridad, también le invitamos a apoyar la seguridad en Proton a través de nuestro programa de recompensas por errores(nueva ventana) que ofrece generosas recompensas a cualquiera que pueda identificar vulnerabilidades en nuestros servicios de código abierto.
Regístrese en Proton VPN(nueva ventana) para obtener una VPN transparente, de código abierto y totalmente auditada sin registros que respeta su privacidad






