Qué Ve tu ISP de Ti: Lo que VPN e Incógnito No Tapan

Cualquiera que quiera acceder a internet debe elegir un proveedor de servicios de internet (ISP, por sus siglas en inglés). Sin embargo, la mayoría de los usuarios sabe poco sobre cómo estas empresas manejan sus datos. Y eso es un problema, porque los operadores de red pueden acceder a casi todo lo que haces en línea: ellos dan soporte a cada actividad que realizas en la red.

Para entender el alcance real de este acceso, hay que comprender cómo funciona técnicamente la conexión. Cuando te conectas desde tu casa, no lo haces directamente a internet. En realidad, te conectas a tu operador a través de una conexión PPP (Point to Point Protocol), un tipo de conexión entre dos equipos remotos.

Una vez establecida esa conexión, tu ISP te asigna una de las direcciones IP disponibles en su catálogo y te conecta a internet a través de sus líneas dedicadas mediante el protocolo TCP/IP. Es ese protocolo el que se encarga de que tus solicitudes lleguen a los sitios correctos y de que recibas las respuestas adecuadas. Comprender este mecanismo es el punto de partida para entender qué sabe tu proveedor de internet sobre ti.

qué sabe tu proveedor de internet sobre ti — arquitectura de acceso a datos según protocolo — El ISP tiene visibilidad distinta según el protocolo y el cifrado del tráfico.

En síntesis, lo que sabe tu proveedor de internet sobre ti incluye: los dominios que visitas, las IPs con las que te comunicas, el volumen de datos transmitidos, los metadatos de tus sesiones y, si el tráfico no está cifrado, contenido de páginas y credenciales. Usar VPN, HTTPS y DNS cifrado reduce significativamente esa visibilidad.

Qué datos recopila tu proveedor de internet
Cómo monitoriza tu proveedor tu comportamiento en la red
El problema con los operadores españoles: lo que dice el informe Eticas
Qué revisar antes de contratar internet en casa
Cómo limitar lo que tu proveedor puede ver
Tu ISP y tu privacidad: lo que puedes controlar

Tabla de Contenido

Qué datos recopila tu proveedor de internet
Cómo monitoriza tu proveedor tu comportamiento en la red
El problema con los operadores españoles: lo que dice el informe Eticas
Qué revisar antes de contratar internet en casa
Cómo limitar lo que tu proveedor puede ver
Tu ISP y tu privacidad: lo que puedes controlar

Qué datos recopila tu proveedor de internet

No hay forma de suavizarlo: tu operador sabe prácticamente todo sobre tu actividad en internet.

Desde el lugar desde donde te conectas hasta el dispositivo que utilizas, pasando por los sitios que visitas o las transacciones que realizas en línea.

A continuación, una lista no exhaustiva de los datos a los que tiene acceso:

Datos de identificación personal facilitados al contratar el servicio
Correos electrónicos (metadatos de conexión y, solo en ausencia de cifrado TLS en protocolos como SMTP, IMAP o POP3, potencialmente contenido)
Fechas, horas, ubicaciones y duraciones de las sesiones en internet
Historial de navegación (en forma de direcciones IP y dominios visitados)
Solicitudes enviadas a través de sus servidores DNS
Archivos almacenados en la nube si no están cifrados
Dirección MAC del dispositivo que se conecta a su red
Volumen de datos transmitidos y números de puerto

Cuando tu proveedor registra los sitios que visitas, lo hace en forma de direcciones URL e IP. Si el sitio web utiliza HTTPS, solo puede ver el dominio (por ejemplo, www.ejemplo.com), no la página específica ni el contenido. Si el sitio utiliza HTTP sin cifrar, tu proveedor de internet sabe qué páginas visitas con exactitud: URL completas, contenido de páginas, credenciales introducidas en formularios no seguros, historial de búsqueda.

El modo incógnito del navegador no cambia nada de esto. Solo impide que el navegador guarde cookies e historial localmente. Los registros en el servidor del proveedor se generan exactamente igual que en una navegación normal.

Si estás evaluando opciones de internet en casa, más adelante en este artículo encontrarás los criterios de privacidad concretos que deberías revisar antes de contratar.

Cómo monitoriza tu proveedor tu comportamiento en la red

Los ISPs utilizan distintas técnicas para monitorizar el tráfico de sus usuarios. Las principales son las siguientes.

DNS Leaks

Ocurren cuando tu sistema resuelve nombres de dominio a través de servidores DNS controlados por tu proveedor, exponiendo las consultas en texto claro. En este escenario, el ISP puede registrar los dominios solicitados y correlacionarlos con tu actividad.

Este comportamiento puede mitigarse mediante el uso de resolutores DNS externos y, de forma más robusta, mediante DNS cifrado (DNS over HTTPS o DNS over TLS), que encapsula las consultas dentro de canales cifrados y reduce significativamente la visibilidad del ISP sobre los dominios consultados.

Analizadores de tráfico

Los ISPs utilizan analizadores de tráfico para monitorizar el tráfico de red que entra y sale de sus infraestructuras. Estos sistemas pueden identificar tipos específicos de tráfico —por ejemplo, tráfico BitTorrent— y reducir la velocidad o bloquearlo según sea necesario.

Deep Packet Inspection (DPI)

En la inspección profunda de paquetes (Deep Packet Inspection, DPI) se analizan los paquetes de datos en distintos niveles del stack de red para identificar patrones, protocolos o comportamientos específicos. A partir de esa información se pueden aplicar políticas de red como limitación de velocidad, bloqueo selectivo o clasificación de tráfico. El DPI permite inspeccionar contenido en protocolos no cifrados como HTTP o FTP.

En el caso de HTTPS, su capacidad se limita principalmente a metadatos de conexión (direcciones IP, puertos, patrones de tráfico) y, en configuraciones tradicionales de TLS, al nombre de dominio expuesto mediante SNI (Server Name Indication). Sin embargo, la adopción progresiva de TLS 1.3 junto con mecanismos como Encrypted Client Hello (ECH) reduce aún más la visibilidad del dominio, limitando el alcance efectivo del DPI sobre tráfico cifrado.

diagrama de Deep Packet Inspection — visibilidad del ISP según protocolo y cifrado — El DPI inspecciona cada paquete; su alcance real depende del cifrado aplicado.

Solicitudes legales

Los proveedores están obligados a cumplir con solicitudes legales de organismos gubernamentales. Esto incluye datos de usuarios que conservan y otros detalles recopilados a lo largo del tiempo. En casos específicos, puede ordenarse a los ISPs que monitoricen las actividades de internet de determinados clientes sin informarles directamente de ello.

El problema con los operadores españoles: lo que dice el informe Eticas

La privacidad frente al ISP tiene dos dimensiones: lo que tu proveedor puede ver técnicamente, y lo que decide hacer con esa información. Conocer qué puede ver técnicamente tu ISP es una cosa. Saber si tu operador realmente protege esa información o la gestiona con transparencia es otra completamente distinta.

La Fundación Eticas publica periódicamente el informe ¿Quién defiende tus datos? para España, evaluando a los principales operadores e ISPs según criterios de transparencia, privacidad y cumplimiento del RGPD. Los resultados no son tranquilizadores.

Según el informe de la tercera edición (2022) de Eticas Foundation, analizado por la Electronic Frontier Foundation (EFF) en Spanish ISPs Fall Short of Robust Commitments to User Privacy —la última edición disponible específica para España—, los ISPs españoles siguen sin cumplir compromisos sólidos de transparencia en materia de protección de datos y privacidad de los usuarios.

Entre los hallazgos más relevantes:

Casi la mitad de las empresas evaluadas no proporcionaba información sobre perfilado y decisiones automatizadas, incumpliendo los estándares de divulgación establecidos en la legislación española de protección de datos (que incorpora las obligaciones del RGPD).
Casi un tercio de los operadores no informaba sobre el periodo de tiempo durante el cual almacena los datos de los usuarios.
Casi la mitad no se comprometía a notificar a los usuarios los cambios en sus políticas de privacidad ni divulgaba información sobre transferencias internacionales de datos.
Movistar (Telefónica) fue el operador con mayor puntuación en el ranking (18 sobre 21 puntos) y el único que publica informes periódicos de transparencia con estadísticas sobre solicitudes gubernamentales de datos, tal como recoge su informe de transparencia de Telefónica.
La Agencia Española de Protección de Datos (AEPD) impuso una multa acumulada de 8,5 millones de euros a Vodafone por varias infracciones de la normativa de protección de datos.

Este panorama tiene una implicación directa para el usuario: elegir un operador de internet en casa no es solo una decisión de velocidad o precio. Es también una decisión de privacidad.

Qué revisar antes de contratar internet en casa

Antes de firmar un contrato con un operador, hay criterios clave que conviene revisar en su política de privacidad pública. El informe Eticas los sistematiza de forma que cualquier usuario puede aplicarlos:

Política de privacidad clara y accesible. El operador debe publicar de forma explícita qué datos recopila, con qué finalidad y a través de qué canales. Si esa información no está disponible o es genérica hasta el punto de no decir nada concreto, es una señal de alerta.

Periodo de retención de datos. La política debe indicar durante cuánto tiempo se almacenan los datos de conexión del usuario. Si el operador no lo especifica, no puedes saber cuánto tiempo permanece tu historial en sus servidores.

Notificación de cambios en la política. Un operador que se compromete con la privacidad de sus usuarios debe avisar cuando modifica sus condiciones, no publicar los cambios sin notificación previa.

Transferencias internacionales de datos. Si tus datos pueden transferirse a terceros países u organizaciones, el operador debe informarte y darte la posibilidad de consentir o rechazar esa transferencia.

Transparencia frente a solicitudes gubernamentales. Los operadores que publican el marco legal que las autoridades deben seguir para solicitar datos de usuarios, y que además editan informes periódicos con estadísticas sobre esas solicitudes, ofrecen el nivel más alto de compromiso real con la privacidad. En España, solo Movistar publica este tipo de informes de forma regular.

Para los usuarios en España, la AEPD es el organismo al que pueden acudir en caso de que consideren que su operador ha vulnerado sus derechos en materia de protección de datos.

Cómo limitar lo que tu proveedor puede ver

Sería un error afirmar que existe alguna forma de excluir totalmente al proveedor de internet del acceso a tu actividad en la red. Sin embargo, hay medidas que reducen significativamente su capacidad de monitorización.

Usar una VPN

Una red privada virtual (VPN) cifra todo tu tráfico de datos y lo redirige a través de un servidor intermediario. Cuando usas una VPN, tu ISP solo puede ver que te has conectado a un servidor VPN, la hora en que se estableció la conexión y el volumen de datos transmitidos. No puede ver los sitios que visitas, las páginas que consultas, tu historial de navegación, tus descargas ni la información que introduces en sitios web.

Lo que tu proveedor de internet sigue viendo aunque uses VPN: la dirección IP del servidor VPN al que te conectas, la duración de tu conexión y el volumen de datos cifrados que transitan entre tu equipo y ese servidor.

diagrama VPN — qué puede ver tu proveedor de internet con y sin VPN activa — Una VPN cifra el tráfico pero no oculta que la estás usando.

Usar HTTPS de forma sistemática

La S en HTTPS garantiza que los datos se cifran antes de la transmisión. Cuando el sitio utiliza HTTPS, el proveedor solo puede ver el dominio visitado (o el SNI en el ClientHello TLS en implementaciones sin ECH), no el contenido. Muchos navegadores modernos ya advierten de forma activa cuando un sitio utiliza HTTP sin cifrar, y algunos tienen funciones integradas para forzar conexiones HTTPS sin necesidad de extensiones adicionales.

La habilitación nativa de DNS over HTTPS (DoH) o DNS over TLS (DoT) en navegadores y sistemas operativos modernos, junto con la progresiva activación de Encrypted Client Hello (ECH), reduce significativamente las DNS leaks y la exposición del SNI incluso frente a DPI de ISP.

Usar navegadores orientados a la privacidad

Navegadores como Tor o Brave ofrecen capas adicionales de protección. Tor proporciona una dirección IP diferente en cada sesión, lo que dificulta el rastreo. La contrapartida es una velocidad de navegación inferior en horas de alta carga, ya que el tráfico se enruta a través de múltiples nodos. Brave bloquea rastreadores y anuncios por defecto, reduciendo la superficie de datos que otros actores, además del ISP, pueden recopilar.

Tu ISP y tu privacidad: lo que puedes controlar

Tu proveedor de internet ocupa una posición técnicamente privilegiada: todo tu tráfico pasa por él. Lo que hace con esa información, cuánto tiempo la conserva y con qué transparencia informa a sus usuarios sobre ello varía significativamente de un operador a otro. En España, el informe Eticas muestra que queda mucho margen de mejora en el sector.

Conocer qué recopila tu ISP, cómo lo monitoriza y qué criterios de privacidad evaluar antes de contratar no es un ejercicio de paranoia: es la base mínima para tomar una decisión informada sobre tu conexión a internet.

¿Qué es un CVE? Vulnerabilidades, CVSS y EPSS Explicados

Laptops para Virtualización y Pentesting: Guía de Hardware y LLMs Locales

Katana Crawler: El Mapeo Definitivo para Pentesting

Qué Sabe tu Proveedor de Internet sobre Ti y Cómo Protegerte

Todo Sobre el Ataque APT: Fases, Detección y Defensa

Apps de Mensajería Seguras: Análisis Técnico Completo

Seguridad Android vs iOS: Un Análisis Técnico que Rompe Mitos

Desactivar la IA de Windows 11: Guía del Script RemoveWindowsAI

iPhone 13 Pro Max: ¿Vale la Pena Comprarlo en 2025?

CyberChef: Qué Es, Cómo Usarlo y Casos de Uso Reales

AssetFinder: Cómo buscar Subdominios de un dominio desde Terminal

DalFox: Guía del escáner de vulnerabilidades XSS para pentesting

Seguridad en Criptomonedas: Análisis de Riesgos y Vulnerabilidades

10 Mujeres Hackers que Cambiaron la Historia (y Debes Conocer)

Grey Hat SEO: Guía Técnica de Estrategias y Riesgos

Qué Sabe tu Proveedor de Internet sobre Ti y Cómo Protegerte

Qué datos recopila tu proveedor de internet