La ubicación que afirma un VPN no coincide con el país real de salida del tráfico

 (ipinfo.io)
11 puntos por GN⁺ 2025-12-14 | 2 comentarios | Compartir por WhatsApp
  • Tras analizar 20 VPN principales, se encontró que en 17 servicios la salida real del tráfico no coincidía con el país anunciado, y muchos usaban los mismos centros de datos en EE. UU. o Europa
  • Al medir más de 150,000 IP de salida de VPN, se vio que 38 países eran “solo virtuales”, es decir, el tráfico real no salía desde esos países
  • Mullvad, IVPN y Windscribe fueron los únicos que coincidieron entre ubicación anunciada y real en todos los países; el resto mostró discrepancias importantes
  • Una “ubicación virtual” significa que el VPN aparece como si estuviera en un país específico, pero en realidad el tráfico sale desde otra región (por ejemplo, Miami o Londres)
  • La brecha entre la cantidad de países que un VPN dice ofrecer y sus ubicaciones físicas reales genera problemas de transparencia y confianza, e IPinfo usa un enfoque de datos medidos basado en ProbeNet para abordar esto

Resultados de una investigación a gran escala sobre discrepancias de ubicación en VPN

  • IPinfo analizó 20 VPN populares y confirmó que 17 diferían del país real de salida del tráfico
    • Algunos VPN afirman dar soporte a más de 100 países, pero en la práctica comparten unos pocos centros de datos en EE. UU. y Europa
  • Se midieron en total 150,000 IP de salida tomando como referencia 137 países
    • 38 países eran exclusivamente virtuales, ya que en ningún VPN el tráfico salía realmente desde ese país
    • Solo 3 VPN permitieron verificar de forma real todas las ubicaciones anunciadas
    • Se encontraron alrededor de 8,000 errores de ubicación IP en conjuntos de datos existentes
  • Las mediciones de ProbeNet muestran que la mayoría de los VPN tienen menos países reales de los que afirman

Resultados reales medidos por VPN

  • Se comparó la cantidad de países que cada VPN afirma ofrecer con la cantidad de países realmente medidos
    • Mullvad, IVPN y Windscribe tuvieron 0% de discrepancia y coincidencia total
    • NordVPN, ExpressVPN, CyberGhost y otros mostraron que más de la mitad eran virtuales o no medibles
  • Cuantos más países afirmaba ofrecer un VPN, mayor era la tasa de discrepancia, por lo que las promesas de “100+ países” son difíciles de creer

Qué significa una ubicación virtual

  • Aunque un VPN muestre “Bahamas” o “Somalia”, el tráfico real puede salir desde Miami, EE. UU., o Londres, Reino Unido
    • Incluso la información de registro IP puede aparecer como “País X” por basarse en datos autodeclarados, pero las mediciones reales de red apuntan a otro país
  • ProbeNet de IPinfo confirma la ubicación con base en la RTT real (tiempo de ida y vuelta) usando más de 1,200 puntos de medición globales
  • En el conjunto total de datos, 97 países eran virtuales o no medibles, y entre ellos 38 existían únicamente como ubicaciones virtuales completas

Casos de estudio: Bahamas y Somalia

  • Bahamas: en NordVPN, ExpressVPN, PIA, FastVPN e IPVanish, el tráfico se midió saliendo desde EE. UU.
    • La RTT, de 0.15 a 0.42 ms con referencia en Miami, sugiere que en realidad eran servidores ubicados en EE. UU.
  • Somalia: NordVPN y ProtonVPN muestran “Mogadishu”, pero el tráfico real se midió en Niza, Francia, y Londres, Reino Unido
    • Una RTT de 0.33 a 0.37 ms confirmó que eran servidores dentro de Europa

Errores en los conjuntos de datos IP existentes

  • Los proveedores de datos IP existentes usan información autodeclarada, por lo que heredan las ubicaciones incorrectas reportadas por los VPN
  • Al comparar 736 IP de salida de VPN entre ProbeNet y conjuntos de datos existentes:
    • 83% tenía un error superior a 1,000 km, 28% superior a 5,000 km y 12% superior a 8,000 km
    • El error mediano fue de unos 3,100 km
  • ProbeNet mostró una RTT promedio de 0.27 ms, y el 90% estuvo por debajo de 1 ms, lo que confirma cercanía con la ubicación física real

Problemas de confianza y razones técnicas

  • Razones técnicas para usar ubicaciones virtuales
    • Evitar riesgos regulatorios o de vigilancia, diferencias en la calidad de la infraestructura, y reducir costos y mejorar rendimiento
  • Pero los problemas de confianza surgen por lo siguiente
    • Falta de divulgación explícita: no lo muestran como “Bahamas virtual (alojado en EE. UU.)”
    • Problema de escala: decenas de países existen solo como ubicaciones virtuales
    • Dependencia de los datos: medios, ONG y sistemas de seguridad corren el riesgo de confiar en ubicaciones incorrectas

Qué implica esto para los usuarios

  • La etiqueta “100+ países” debe verse como una cifra de marketing
    • En 17 VPN, 97 países no existían realmente
  • Hay que revisar cómo un VPN presenta sus ubicaciones: si usa servidores virtuales y si revela la ubicación real del alojamiento
  • Si se usan datos IP, hay que verificar su origen: más que una cifra simple de precisión, importa saber si son datos basados en mediciones
  • Más que un problema del uso de VPN en sí, esto subraya la importancia de la transparencia y de los datos respaldados por evidencia

Enfoque de IPinfo basado en mediciones

  • Los proveedores tradicionales de datos IP dependen de información de registro de RIR y datos autodeclarados
  • IPinfo adoptó un método de medición real basado en ProbeNet
    1. Opera más de 1,200 PoP (puntos de medición)
    2. Usa mediciones en tiempo real basadas en RTT para ubicar direcciones IPv4 e IPv6
    3. Calcula la ubicación con geodatos basados en evidencia, sustentados en el comportamiento real de Internet
  • Este enfoque busca reducir errores por autodeclaración y asegurar precisión centrada en datos medidos

Metodología de la investigación

  • Se recopilaron más de 6 millones de puntos de datos desde sitios web, archivos de configuración y API de 20 proveedores de VPN
  • Se conectaron directamente a cada ubicación de VPN para medir IP de salida y RTT
  • Se comparó el país anunciado por el VPN con el país real medido por ProbeNet
  • Solo se incluyeron en el análisis las ubicaciones claramente anunciadas; los casos ambiguos o no medibles fueron excluidos
  • Como resultado, incluso con un criterio conservador se observó una alta tasa de discrepancia, y con un criterio más laxo esa tasa probablemente sería aún mayor

Lecturas relacionadas

2 comentarios

 
princox 2025-12-15

Vaya, hasta engañan con cosas así para hacer negocio...;;; hay muchos problemas.
 
GN⁺ 2025-12-14
Comentarios en Hacker News

  • Soy cofundador de WonderProxy. Nuestro servicio no es una VPN para consumidores, sino para pruebas de apps, así que no apareció en la lista.
    Operamos en más de 100 países, y esto de verdad es un dolor de cabeza. Al principio, muchos proveedores que decían estar en México o Sudamérica en realidad estaban en Texas.
    En algún momento intentamos llevar servidores directamente a Perú, pero lo dejamos cuando supimos que tendríamos que pagar impuesto sobre la renta en Perú por lo que ganáramos allá.
    Un cliente se quejó de que un competidor ofrecía servidores en Medio Oriente, pero al investigarlo vimos que estaba a menos de 1 ms de un servidor en Alemania.

  • Conozco a varias personas que trabajan en Mullvad, y se toman la seguridad y la privacidad muy en serio. Por eso este resultado no me sorprende.

    • Detrás del GFW de China, Mullvad, Windscribe e IVPN sí funcionaban, mientras que las VPN más famosas no. O sea, hasta entre las VPN hay VPN de verdad.
    • Incluso antes de leer el artículo, estaba seguro de que Mullvad iba a pasar la prueba.
    • Mullvad me gusta más mientras más la uso. Otras VPN empeoran con el tiempo, esta es al revés. Me gusta especialmente que puedes mantener el anonimato con pagos desde billetera de criptomonedas.
    • Windscribe e iVPN también recibieron buenas valoraciones, pero este post trata de señalar el marketing engañoso de las VPN. Las VPN no mejoran tanto la seguridad, pero sí son útiles para evadir la censura o saltarse restricciones regionales. Creo que redes dedicadas como Psiphon, Lantern o Tor son más potentes.

  • Soy ciudadano de un país y residente de otro, así que uso VPN con frecuencia. Ni siquiera puedo entrar a sitios del gobierno sin VPN.
    El sitio de la oficina de estadísticas da 404 si entras desde una IP extranjera, pero funciona normal si activo la VPN. Para la transmisión electoral también necesité VPN.
    La declaración de impuestos bloquea las VPN, así que tengo que apagarla, pero sí permite IP de residentes en el extranjero.
    Si hubiera una VPN con IP residencial, estaría dispuesto a pagar hasta 30 euros al mes. Pero la mayoría no inspiran confianza.

    • Si dejas un AppleTV con Tailscale instalado en casa de un amigo o familiar, puedes usarlo como exit node para conectarte. Yo hago eso.
    • Estoy en la misma situación, así que hice TunnelBuddy(https://tunnnelbuddy.net) yo mismo. Está basado en WebRTC y, con que tu amigo comparta una contraseña una sola vez, puedes usar internet como si estuvieras conectado desde su casa.
    • Si tienes un amigo en ese país, otra opción es dejar una Raspberry Pi conectada detrás del módem.
    • Las IP residenciales no suelen cobrarse por tarifa mensual, sino por GB, así que salen caras. Normalmente cuestan más de 2 dólares por 1 GB.
    • Otra opción es usar una SIM con roaming de tu país de origen para entrar a los sitios del gobierno.

  • Me parece interesante que se pueda estimar la ubicación real del servidor por la latencia. Pero, ¿no podrían engañar al sistema si la VPN agregara artificialmente entre 100 y 300 ms de retraso?
    Por ejemplo, 74.118.126.204 dice ser una IP de Somalia, pero ipinfo.io la identifica como Londres. Se puede ver comparando curl ipinfo.io/74.118.126.204/json y curl ipwhois.app/json/74.118.126.204.

    • Creo que el tiempo de ping depende más del número de hops y la calidad de la conexión que de la velocidad de la luz.
    • Igual que se puede estimar un hash de contraseña por el tiempo de respuesta del servidor, el ruido sigue siendo solo ruido.
    • IPinfo calcula la ubicación usando multilateración al enviar pings desde varias regiones al mismo tiempo. Dicen que operan más de 600 servidores sonda (fuente).
    • Aunque agregues latencia a todos los paquetes, al final Londres seguirá mostrando la menor latencia.
    • Si haces ping desde varios países, puedes averiguar la ubicación real con triangulación.

  • La mayoría de los proveedores de VPN en realidad sí revelan que usan “ubicación virtual”. Así que no diría que sea una mentira total.
    Es interesante pensar cuál debería ser el criterio para mostrar la ubicación geográfica de una VPN. ¿Debería mostrarse la ubicación real del servidor, o el país que el usuario eligió?
    Yo creo que lo segundo es más útil, porque muestra dónde quiere “estar” el cliente.
    (Por cierto, yo opero un servicio competidor, y nosotros también mostramos la ubicación que reporta la VPN, pero dejando claro que es una VPN).

  • Me cambié a ProtonMail y probé ProtonVPN, pero con la VPN activada la mitad de los sitios web no funciona. Incluso Hacker News bloquea la VPN.
    Cada vez es más fácil para los sitios detectar endpoints de VPN, y me pregunto cómo podrán evitar eso las VPN en el futuro.

    • Apple pudo presionar para que los sitios permitieran las conexiones mediante Private Relay. Si las VPN se masifican, al final los sitios también tendrán que aceptarlas.
    • Si aumenta la cantidad de usuarios de VPN y Tor, a los sitios les costará más bloquearlos. El mundo ideal sería uno donde todos usan Tor. Si todos se ven iguales, no se puede discriminar.
    • Reddit te aplica un shadow ban si tienes la VPN encendida. Ni siquiera te avisa, así que si nadie responde a tus comentarios, tienes que revisar tu perfil en una sesión privada.
    • Con Tor pasa lo mismo. Tienes anonimato, pero al mismo tiempo te vuelves alguien visible.
    • Si aumenta el uso de VPN, los sitios más bien van a salir perdiendo. Sobre todo los usuarios móviles suelen dejar la VPN siempre encendida.
      Si un sitio bloquea las VPN, los usuarios se incomodan y se van.
      Disfrazar el user agent como móvil puede ayudar. También hay que hacer que las huellas SSL y HTTP parezcan móviles.
      Conviene evitar las VPN con plan gratuito. Mientras más premium sea la VPN, mejor reputación tendrá su IP.

  • No me queda claro qué fue exactamente lo que probó este test. También es raro que falten varias VPN importantes.
    Yo uso AirVPN porque se ajusta a mi caso de uso y al precio.
    Hay muchas razones para usar una VPN: privacidad, anonimato (no lo recomiendo), saltarse restricciones regionales, torrents, evasión de censura (GFC), etc.
    La última es la más difícil.
    Enlace de referencia: VPN Services Overview

    • La prueba verificó la ubicación real del nodo de salida de la VPN. Muchas empresas solo cambian la información WHOIS de la IP, pero dejan el servidor físico en otro país.

  • Para evitar firewalls a nivel país, importa la ubicación del nodo de salida, pero la propia industria de GeoIP también es el problema.
    Ojalá los ISP ayudaran a los usuarios a esquivar bloqueos regionales mediante RFC8805.

    • Con la expansión de CGNAT, quizá haga falta información de ubicación por puerto. Por ejemplo: los puertos 10000~20000 son Nueva York, 20000~30000 son Boston, etc.
    • Eso suena a alguien que nunca ha sufrido sanciones de la OFAC. Mi negocio se acaba de inmediato si incumplo sanciones.
      La información geográfica por IP es una herramienta clave para evitar ese riesgo.
    • Estaría bien poder manejar esta información como los registros PTR de DNS.

  • Creo que intentar inferir conocimiento de la red troncal solo a partir del RTT es demasiado.
    El tráfico no siempre se enruta de forma eficiente, y el camino de transmisión cambia según el volumen de tráfico. Me interesa escuchar otras opiniones.

    • No hace falta asumir enrutamiento eficiente. Si obtienes un RTT de menos de 1 ms desde Londres, físicamente no puede estar fuera del Reino Unido.
      Por el límite de la velocidad de la luz, un RTT de 0.4 ms implica una distancia máxima de 120 km. Con eso puedes afirmar con certeza que el servidor no está en el país que dice estar.
    • Si haces el cálculo con la velocidad de la luz, un RTT menor a 0.5 ms significa que el país medido es correcto. En fibra óptica la velocidad es menor por la refracción, así que el margen de error todavía se reduce más.
    • Sobre el comentario de “quizá se me escapó algún detalle”: sí, parece que se te escapó la física. Si desde Londres te da un ping submilisegundo, entonces eso no es Mauricio.