Varias VPN importantes han publicado auditorías independientes de sus políticas de no-registros y/o infraestructura: NordVPN (seis compromisos de aseguramiento, el más reciente por Deloitte, diciembre de 2025), ExpressVPN (KPMG, Cure53, PwC), Surfshark (no-registros 2023/2025 más una auditoría de infraestructura de SecuRing, enero de 2026) y Proton VPN (auditorías anuales consecutivas). La pila de código abierto de Mullvad ha superado auditorías de seguridad independientes repetidas, y el historial de no-registros de PIA ha sido probado en los tribunales. Cada auditoría es puntual: lee el alcance y la fecha del informe.
Qué demuestra realmente una auditoría de no-registros independiente
Una auditoría de no-registros independiente consiste en que una empresa tercera identificada examina los sistemas de una VPN y confirma que la configuración coincide con la política de no-registros en el momento de la revisión. Es una evidencia significativa —mucho más sólida que una declaración propia—, pero tiene dos limitaciones que conviene entender: es puntual (describe el día en que se realizó, no el futuro) y tiene un alcance definido (una auditoría de no-registros y una auditoría de infraestructura comprueban cosas diferentes).
Por eso siempre registramos qué empresa realizó la auditoría, qué cubrió y cuándo. Un proveedor que publica el informe completo y lo renueva regularmente hace una afirmación más sólida y responsable que uno que cita una única auditoría antigua o solo un logotipo. Lee el informe real en el propio sitio del proveedor antes de fiarte de él.
Quién ha sido auditado, por quién y cuándo
A continuación se presentan los hechos de auditoría que hemos verificado con fuentes primarias o secundarias sólidas a junio de 2026. Confirma los datos más recientes en el propio sitio de cada proveedor, ya que las auditorías se renuevan (y en ocasiones caducan).
- NordVPN — seis compromisos de aseguramiento de no-registros independientes, el más reciente por Deloitte (informe con fecha de diciembre de 2025). Uno de los ritmos de auditoría más frecuentes de la categoría.
- ExpressVPN — no-registros auditado por KPMG (2022, 2023) y PwC Suiza (anteriormente); su tecnología TrustedServer de solo RAM auditada por Cure53.
- Surfshark — auditorías de no-registros independientes (2023, 2025), una auditoría de infraestructura de SecuRing publicada en enero de 2026, una evaluación anterior de infraestructura de servidores por Cure53 y certificación de seguridad de aplicaciones MASA.
- Proton VPN — auditorías de no-registros independientes anuales consecutivas, junto con aplicaciones completamente de código abierto.
- Mullvad — pila de software de código abierto con auditorías de seguridad independientes repetidas (incluyendo su implementación de WireGuard, el protocolo GotaTun y la aplicación web a través de Assured).
- Private Internet Access (PIA) — clientes de código abierto; historial de no-registros probado en los tribunales (sin registros que entregar en solicitudes legales) en lugar de a través de una auditoría de una empresa nominada.
Preguntas frecuentes
¿Qué VPN tiene más auditorías de no-registros independientes?
NordVPN tiene uno de los ritmos de auditoría más frecuentes de la categoría, con seis compromisos de aseguramiento de no-registros independientes, el más reciente por Deloitte (diciembre de 2025). ExpressVPN, Surfshark y Proton VPN también publican auditorías independientes, y Proton VPN realiza las suyas de forma anual consecutiva junto con aplicaciones de código abierto. Lee el informe de cada proveedor para conocer su alcance y fecha.
¿Es una auditoría de no-registros una garantía permanente?
No. Una auditoría es puntual: confirma que los sistemas coincidían con la política de no-registros el día de la revisión, dentro de un alcance definido. Es una evidencia sólida, no una garantía permanente, por lo que la renovación frecuente y un informe legible son importantes. Comprueba la fecha y el alcance de la última auditoría en el propio sitio del proveedor.
¿Se ha puesto a prueba en un tribunal la afirmación de no-registros de alguna VPN?
Sí. Private Internet Access (PIA) no ha tenido registros de usuarios que entregar en solicitudes legales, lo que constituye una evidencia real de su diseño de no-registros junto con sus clientes de código abierto. Ese historial judicial es un tipo de evidencia diferente al de una auditoría de una empresa nominada, y podría decirse que es más difícil de fabricar, aunque PIA tiene su sede en Estados Unidos, lo que algunos usuarios valoran en su contra.
Fuentes y lecturas adicionales
Un editor independiente que compara servicios VPN. Nuestro equipo editorial verifica cada afirmación con fuentes primarias —la documentación propia del proveedor y el informe de auditoría real— y nunca acepta pagos a cambio de una mejor valoración.