Técnico

VPN (Red Privada Virtual)

Tecnología que cifra el tráfico de red y oculta la dirección IP real del usuario canalizándolo a través de un servidor intermediario. En investigaciones forenses, las VPN representan un desafío para la identificación de sospechosos, pero también dejan artefactos analizables en dispositivos y pueden ser objeto de requerimientos judiciales a proveedores.

12 min de lectura

VPN (Red Privada Virtual)

31% de los usuarios de internet en España utilizan servicios VPN de forma habitual, según datos de GlobalWebIndex (2024). Esa cifra convierte a las redes privadas virtuales en una herramienta omnipresente, tanto para la protección legítima de la privacidad como para la comisión de ciberdelitos. Sin embargo, el anonimato que prometen tiene límites reales: en 2021, el FBI obtuvo registros de conexión de NordVPN vinculados a un caso de ciberacoso pese a la política declarada de “no-logs” del proveedor. En España, la Guardia Civil estima que el 67% de los ciberdelitos investigados implican el uso de alguna forma de VPN, lo que convierte su análisis forense en una competencia crítica para cualquier perito informático.

Nota sobre datos: Las estadísticas mencionadas en este artículo proceden de fuentes públicas citadas en la sección de referencias. Cuando se indican estimaciones o datos aproximados, se señala expresamente su naturaleza orientativa.

Definición técnica

Una VPN (Virtual Private Network o Red Privada Virtual) es una tecnología de red que crea un túnel cifrado entre el dispositivo del usuario y un servidor remoto, canalizando todo el tráfico de internet a través de esa conexión segura. El resultado práctico es doble: el tráfico queda cifrado (ilegible para terceros que lo intercepten) y la dirección IP real del usuario queda oculta, reemplazada por la IP del servidor VPN.

Protocolos principales:

ProtocoloCifradoVelocidadUso principal
WireGuardChaCha20-Poly1305Muy altaVPN modernas (NordVPN, Mullvad)
OpenVPNAES-256-GCMMedia-AltaEstándar industria, código abierto
IPSec/IKEv2AES-256-CBCAltaVPN corporativas, móviles
L2TP/IPSecAES-256MediaLegacy, entornos Windows
PPTPMPPE 128-bitAltaObsoleto, inseguro (no usar)

Tipos de VPN:

  • VPN comercial (NordVPN, ExpressVPN, Mullvad): Orientada a privacidad personal, servidores en múltiples países, políticas no-logs variables
  • VPN corporativa (Cisco AnyConnect, Palo Alto GlobalProtect, FortiClient): Acceso remoto a red empresarial, logs detallados, gestión centralizada
  • VPN autoalojada (WireGuard propio, OpenVPN en VPS): Control total del usuario, sin tercero intermedio, complejidad técnica mayor

Mecanismo de ocultación IP:

Sin VPN:
  Usuario (IP: 83.45.123.xx) → Sitio web destino
  → El sitio web ve: 83.45.123.xx (IP real, España)

Con VPN:
  Usuario (IP: 83.45.123.xx) → Túnel cifrado → Servidor VPN (IP: 185.65.134.xx, Países Bajos)
  → El sitio web ve: 185.65.134.xx (IP VPN, Países Bajos)
  → La IP real queda oculta para el destino

VPN en investigaciones forenses: el desafío de la atribución IP

El principal reto forense de las VPN es la ruptura de la cadena de atribución IP. En una investigación convencional, la dirección IP permite vincular una actividad online con un titular de conexión (vía requerimiento al ISP). Cuando se interpone una VPN, esa cadena se rompe.

La IP no es identidad

Una dirección IP, con o sin VPN, nunca identifica a una persona por sí sola. Identifica una conexión de red en un momento concreto. La atribución requiere siempre evidencia adicional: artefactos de dispositivo, metadatos, correlación temporal y, en muchos casos, confesión o testigos.

Pero las VPN no son invisibles. Los usuarios dejan rastros en múltiples capas:

  1. Artefactos en el dispositivo: La instalación y uso de software VPN genera registros en el sistema operativo
  2. Fugas de datos (leaks): DNS leaks, WebRTC leaks y IPv6 leaks pueden revelar la IP real
  3. Metadatos de conexión: Timestamps, volumen de datos, duración de sesión
  4. Correlación temporal: Si la actividad sospechosa coincide exactamente con los horarios de conexión VPN registrados en el dispositivo, la correlación es probatoria
  5. Kill switch failures: Cuando la VPN se desconecta momentáneamente, el tráfico puede salir sin cifrar revelando la IP real
  6. Registros del proveedor VPN: Pese a políticas “no-logs”, muchos proveedores conservan datos de conexión

Artefactos forenses de VPN en dispositivos

Windows

Registro de Windows (Registry):

HKEY_LOCAL_MACHINE\SOFTWARE\OpenVPN
HKEY_CURRENT_USER\SOFTWARE\NordVPN
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\
  → Adaptadores TAP/TUN con configuración VPN
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\PPP\ControlProtocols

Logs de aplicación:

C:\Users\[usuario]\AppData\Local\NordVPN\Logs\
C:\Users\[usuario]\AppData\Roaming\OpenVPN\log\
C:\Program Files\OpenVPN\log\openvpn.log

Historial de adaptadores de red:

# Event Viewer → System logs
Event ID 10400: "RasClient - VPN connection initiated"
Event ID 20225: "CoId={GUID}: El usuario [DOMINIO]\[usuario]
  ha marcado una conexión denominada [nombre VPN]"

# Adaptadores TAP instalados (persisten tras desinstalar VPN)
netsh interface show interface
  → TAP-Windows Adapter V9 (evidencia de uso previo OpenVPN)

macOS

Keychain: Credenciales VPN almacenadas en el llavero del sistema

security find-generic-password -s "NordVPN" /Library/Keychains/System.keychain

Property Lists (plist):

~/Library/Preferences/com.nordvpn.osx.plist
~/Library/Application Support/NordVPN/
/Library/Preferences/SystemConfiguration/preferences.plist
  → VPN configurations bajo "NetworkServices"

Logs del sistema:

/var/log/system.log → Entradas "nesessionmanager", "NEVPNConnection"
log show --predicate 'subsystem == "com.apple.networkextension"' --last 24h

Android / iOS

Android:

  • /data/data/com.nordvpn.android/ (requiere root o extracción avanzada)
  • Perfiles VPN en Settings > Network > VPN (visibles sin root)
  • Logs de conexión en logcat (filtro: “VpnService”)
  • Base de datos SQLite de la app VPN (timestamps conexión)

iOS:

  • Perfiles VPN: Settings > General > VPN & Device Management
  • NetworkExtension framework logs
  • MDM profiles (en dispositivos corporativos)
  • Backup iTunes/iCloud puede contener configuraciones VPN

Extensiones de navegador

Las extensiones VPN de navegador (proxies, no VPN completas) dejan artefactos en:

  • chrome://extensions/ → Extension IDs instaladas
  • ~/.config/google-chrome/Default/Extensions/ → Datos extensión
  • Historial de navegación: URLs accedidas vía proxy pueden quedar registradas
  • localStorage y IndexedDB de la extensión

Requerimientos judiciales a proveedores VPN

El artículo 588 ter de la LECrim (Ley de Enjuiciamiento Criminal) regula la interceptación de comunicaciones telemáticas y la cesión de datos de tráfico. Un juez de instrucción puede ordenar a un proveedor VPN que opere o tenga presencia en España la entrega de:

  • Datos de conexión (IP origen, IP asignada, timestamps)
  • Metadatos de sesión (duración, volumen datos)
  • Información de cuenta (email registro, método pago)
  • Datos de tráfico (en casos graves, con autorización expresa)
Art. 588 ter LECrim

La obligación de conservación y cesión de datos aplica a prestadores de servicios de comunicaciones electrónicas que operen en territorio español. Para proveedores extranjeros sin presencia en España, se requiere cooperación judicial internacional mediante comisiones rogatorias o tratados de asistencia mutua (MLAT).

Cooperación internacional (MLAT)

Para proveedores VPN con sede fuera de España, el proceso requiere:

  1. Solicitud judicial española: El juez de instrucción emite auto motivado solicitando datos al proveedor VPN extranjero.

  2. Canalización vía Ministerio de Justicia: La solicitud se tramita como comisión rogatoria internacional a través de la autoridad central española.

  3. Tratado MLAT aplicable: Se utiliza el tratado bilateral o multilateral correspondiente (ej: Convenio de Budapest para ciberdelitos, MLAT España-EE.UU.).

  4. Ejecución en jurisdicción destino: La autoridad judicial del país donde radica el proveedor VPN evalúa y ejecuta (o deniega) la solicitud.

  5. Recepción de datos: Los datos obtenidos se transmiten de vuelta por vía diplomática/judicial al juzgado español.

Plazo realista: 6-18 meses (comisiones rogatorias tradicionales). Con la Orden Europea de Investigación (OEI) dentro de la UE: 2-4 meses.

Proveedores VPN y cooperación policial

La realidad sobre las políticas “no-logs” varía enormemente:

ProveedorSedePolítica declaradaCooperación real documentada
PureVPNHong Kong”No-logs”Entregó registros al FBI en caso ciberacoso 2017
HideMyAssReino Unido”No-logs”Cooperó con FBI caso LulzSec (Cody Kretsinger, 2011)
IPVanishEE.UU.”Zero logs”Entregó registros a Homeland Security en caso 2016
NordVPNPanamá”No-logs auditada”FBI obtuvo datos conexión en caso 2019 (vía servidor incautado en Finlandia)
MullvadSuecia”No-logs”Policía sueca registró oficinas en 2023, no obtuvo datos (no había registros)
ProtonVPNSuiza”No-logs (Suiza)“Proton cooperó con autoridades francesas en caso 2021 (ProtonMail, datos IP)
Advertencia crítica

Una política “no-logs” es una declaración comercial, no una garantía técnica ni legal. Solo auditorías independientes verificables y la arquitectura técnica del sistema (servidores RAM-only, sin discos) ofrecen cierta garantía. Aun así, un proveedor puede ser obligado por orden judicial de su jurisdicción a comenzar a registrar datos prospectivamente.

VPN corporativas como evidencia forense

Las VPN corporativas son una fuente de evidencia extremadamente valiosa en investigaciones de amenazas internas, despidos improcedentes, competencia desleal y fuga de información confidencial. A diferencia de las VPN comerciales, las corporativas registran todo por diseño.

Datos típicos registrados por VPN corporativa:

Timestamp conexión: 2026-02-08 23:47:12 UTC
Usuario: [email protected]
IP origen: 83.45.123.78 (domicilio empleado)
IP asignada VPN: 10.0.50.134
Duración sesión: 2h 34min
Recursos accedidos:
  - \\fileserver\confidencial\proyectos-2026\ (14 archivos, 234 MB)
  - \\fileserver\rrhh\nóminas\ (3 archivos, 12 MB)
  - SharePoint: /sites/direccion/documentos-estrategicos/
Volumen datos descargado: 246 MB
Volumen datos subido: 1.2 MB
Agente VPN: Cisco AnyConnect 4.10
Sistema operativo: Windows 11 Pro

Correlación con SIEM:

Los logs VPN corporativos, correlacionados con un sistema SIEM (Security Information and Event Management), permiten reconstruir con precisión la actividad completa de un usuario:

  • Acceso fuera de horario: Conexiones VPN a las 3:00 AM un sábado
  • Volumen anómalo: Descarga de 15 GB en una sesión nocturna
  • Recursos inusuales: Empleado de marketing accediendo a carpetas de I+D
  • Patrones pre-dimisión: Aumento de descargas en las semanas previas a una renuncia

Caso práctico: acceso no autorizado vía VPN corporativa tras dimisión

Nota: El siguiente caso está basado en una investigación forense real. Los datos específicos (nombres, empresa, cantidades) han sido anonimizados para proteger la confidencialidad de los afectados, preservando únicamente los aspectos técnicos relevantes para fines educativos.

Contexto: Un responsable de desarrollo dimite de una empresa tecnológica. Dos semanas después, la empresa detecta que su VPN corporativa registra accesos nocturnos con las credenciales del exempleado.

Timeline forense:

15 Ene 2026: Empleado presenta dimisión (preaviso 15 días)
15-30 Ene: Actividad VPN normal (horario laboral)

30 Ene 2026: Último día en empresa. RRHH no desactiva cuenta VPN.

2 Feb 2026 02:14: Conexión VPN desde IP residencial exempleado
  → Accede a repositorio Git interno: 47 commits descargados
  → Accede a carpeta /proyectos/cliente-principal/: 89 archivos (1.2 GB)
  → Sesión: 3h 12min

5 Feb 2026 01:45: Segunda conexión VPN
  → Accede a carpeta /comercial/propuestas-2026/: 23 documentos
  → Accede a base datos CRM (export contactos)
  → Sesión: 1h 48min

7 Feb 2026: Sistema SIEM genera alerta anomalía
  → Patrón: acceso nocturno + usuario estado "baja" en RRHH
  → Equipo IT investiga → descubre accesos no autorizados

8 Feb 2026: Empresa contacta perito informático forense

Evidencia forense recopilada:

  1. Logs VPN Cisco AnyConnect: Timestamps, IP origen, recursos accedidos, volumen datos
  2. Logs SIEM (Splunk): Correlación acceso VPN con actividad en servidores internos
  3. Active Directory: Cuenta no desactivada (fallo procedimiento RRHH)
  4. Logs servidor Git: Commits clonados, branches accedidos
  5. Logs CRM: Exportación base datos contactos (2,340 registros)

Resultado: El informe pericial acreditó acceso no autorizado a sistemas informáticos (art. 197 bis CP) y revelación de secretos empresariales (art. 278-280 CP). Los logs VPN fueron la evidencia principal admitida en juicio, al estar generados automáticamente por el sistema y con marcas temporales verificables.

Técnicas forenses para investigar tráfico VPN

Cuando la evidencia directa del proveedor VPN no está disponible, existen técnicas alternativas para vincular actividad sospechosa con un usuario concreto:

1. Análisis de correlación temporal

Principio: Si el usuario se conecta a la VPN a las 14:23:07
y la actividad maliciosa se registra a las 14:23:09,
la correlación temporal es probatoria.

Datos necesarios:
  - Logs ISP del sospechoso (conexión a IP del servidor VPN)
  - Logs del servicio víctima (actividad maliciosa)
  - Precisión temporal: milisegundos idealmente

Ejemplo:
  ISP del sospechoso:
    14:23:07.234 → Conexión TCP a 185.65.134.xx:1194 (servidor VPN)

  Servidor víctima:
    14:23:09.891 → Login desde 185.65.134.xx (IP del servidor VPN)

  Diferencia: 2.657 segundos (consistente con latencia VPN)

2. Detección de fugas DNS

Las fugas DNS ocurren cuando las consultas de resolución de nombres se envían fuera del túnel VPN, revelando los sitios visitados y la IP real:

Con VPN correctamente configurada:
  DNS query → Túnel VPN → Servidor DNS del proveedor VPN

Con fuga DNS:
  DNS query → ISP del usuario (fuera del túnel)
  → El ISP registra: IP real + dominio consultado + timestamp

Herramientas detección: Wireshark (filtro: dns && !ip.addr == [IP servidor VPN]), tcpdump, dnsleak.com en análisis retrospectivo de capturas de red.

3. WebRTC leak detection

Navegadores con WebRTC habilitado pueden revelar la IP real del usuario incluso con VPN activa:

JavaScript ejecutado en página web:
  RTCPeerConnection() → Obtiene IP local del dispositivo
  → IP real: 83.45.123.78 (se revela pese a VPN)
  → Registrada por servidor web en logs

4. Browser fingerprinting

Más allá de la IP, el navegador del usuario genera una huella digital única basada en: user-agent, resolución pantalla, plugins instalados, timezone, idioma, fuentes del sistema, canvas fingerprint y WebGL renderer. Esta huella permanece constante aunque cambie la IP mediante VPN.

5. Análisis de tráfico cifrado (traffic analysis)

Sin descifrar el contenido, es posible analizar patrones del tráfico VPN cifrado:

  • Tamaño paquetes: Patrones únicos según tipo actividad (streaming vs navegación vs descarga)
  • Timing: Intervalos entre paquetes revelan patrones de uso
  • Volumen: Correlación entre volumen entrante/saliente en momentos concretos
  • Destino del túnel: La IP del servidor VPN es visible para el ISP

FAQ

P: ¿La policía puede rastrear a alguien que usa VPN? R: Sí, en muchos casos. Aunque la VPN oculta la IP al sitio web destino, la policía puede: (1) solicitar registros al proveedor VPN vía orden judicial, (2) obtener logs del ISP mostrando la conexión al servidor VPN, (3) analizar artefactos forenses en el dispositivo del sospechoso, (4) utilizar correlación temporal entre la conexión VPN y la actividad investigada. El anonimato absoluto es extremadamente difícil de mantener.

P: ¿Los registros de una VPN son admisibles como prueba en un tribunal español? R: Sí, los logs de VPN son admisibles como prueba documental electrónica, siempre que se garantice su autenticidad, integridad y licitud en la obtención (doctrina STS 300/2015). Los logs de VPN corporativas generados automáticamente tienen especial valor probatorio al ser registros sistemáticos no manipulables por el usuario. Para logs de proveedores VPN extranjeros, se requiere que la obtención cumpla los cauces de cooperación judicial internacional.

P: ¿Es legal usar una VPN en España? R: Sí, el uso de VPN es completamente legal en España. No existe ninguna normativa que prohíba su utilización. Sin embargo, utilizar una VPN para cometer un delito no exime de responsabilidad penal, y el uso de herramientas de anonimización puede ser considerado un indicio de intencionalidad dolosa en el marco de una investigación criminal.

P: ¿Un perito informático puede determinar que se ha usado VPN en un dispositivo? R: Sí. El análisis forense de un dispositivo puede revelar: software VPN instalado (incluso desinstalado), claves de registro, archivos de configuración, logs de conexión locales, adaptadores de red TAP/TUN instalados, perfiles VPN en el sistema operativo, y entradas DNS cache que muestren resolución de dominios de proveedores VPN.

P: ¿Qué diferencia hay entre una VPN y Tor para el anonimato? R: La VPN oculta la IP redirigiendo el tráfico a través de un único servidor (el proveedor puede ver todo el tráfico). Tor distribuye el tráfico a través de tres nodos independientes (entrada, intermedio, salida), de forma que ningún nodo individual conoce simultáneamente el origen y el destino. Tor ofrece mayor anonimato teórico pero menor velocidad. En la práctica forense, ambos dejan artefactos analizables en los dispositivos.

Referencias y Fuentes

  1. GlobalWebIndex. (2024). “VPN Usage Around the World”. globalwebindex.com

    • 31% usuarios internet España utilizan VPN; adopción global creciendo 15% anual

  2. ENISA (Agencia UE Ciberseguridad). (2024). “Threat Landscape Report 2024”. enisa.europa.eu

    • Análisis de VPN como vector habilitador en ciberataques y recomendaciones forenses

  3. Europol. (2024). “Internet Organised Crime Threat Assessment (IOCTA) 2024”. europol.europa.eu

    • Uso de VPN y servicios anonimización en crimen organizado online en la UE

  4. Ley de Enjuiciamiento Criminal, Art. 588 ter. boe.es

    • Marco legal interceptación comunicaciones telemáticas y cesión datos tráfico en España

  5. Convenio de Budapest sobre Ciberdelincuencia (2001). coe.int

    • Base jurídica cooperación internacional en ciberdelitos, incluida obtención transfronteriza de datos

  6. The Register. (2017). “PureVPN logs helped FBI catch alleged cyberstalker”. theregister.com

    • Caso documentado: PureVPN entregó registros conexión pese a política “no-logs”

  7. ArsTechnica. (2011). “LulzSec hacker caught after VPN provider HideMyAss turned over logs”. arstechnica.com

    • HideMyAss cooperó con FBI proporcionando logs de conexión de Cody Kretsinger

  8. Mullvad VPN. (2023). “Mullvad was subject to a search warrant”. mullvad.net

    • Policía sueca registró oficinas de Mullvad; no se encontraron datos de usuarios

  9. NIST (National Institute of Standards and Technology). (2020). “SP 800-77 Rev. 1: Guide to IPsec VPNs”. nist.gov

    • Guía técnica de referencia sobre protocolos y seguridad VPN IPSec

  10. SANS Institute. (2023). “Digital Forensics and VPN Artifacts”. sans.org

    • Metodologías análisis forense de artefactos VPN en sistemas Windows, macOS y móviles

  11. Código Penal español, Arts. 197 bis (acceso ilícito sistemas), 278-280 (secretos empresa). boe.es

    • Marco penal aplicable a acceso no autorizado y revelación secretos empresariales

  12. Tribunal Supremo - STS 300/2015. Requisitos admisibilidad prueba digital: autenticidad, integridad y licitud. Jurisprudencia de referencia en materia de evidencia electrónica en España.

Última actualización: 10 Febrero 2026 Categoría: Técnico (TEC-015) Nivel técnico: Intermedio-Avanzado Relevancia forense: ALTA (presente en mayoría investigaciones ciberdelitos)

¿Necesitas un peritaje forense?

Si necesitas ayuda profesional con análisis forense digital, estoy aquí para ayudarte.

Solicitar Consulta Gratuita
Jonathan Izquierdo

Jonathan Izquierdo · Perito Forense

+15 años experiencia · AWS Certified

WhatsApp