¿Es Mullvad seguro? Análisis de seguridad, privacidad y auditorías
¿Es Mullvad seguro? Resultados de auditorías independientes, protocolos de cifrado, análisis de jurisdicción, pruebas de kill switch y verificación de política de no registros.
¿Es Mullvad seguro? Una evaluación directa
Mullvad obtiene 86/100 en nuestro índice de confianza. Opera bajo jurisdicción sueca, cobra una tarifa plana de €5/mes sin cuentas y aplica una política de no registros verificada. Las auditorías independientes realizadas por Cure53 y Assured AB confirmaron vulnerabilidades mínimas. Mullvad no almacena registros de conexión, datos de tráfico ni información de identificación personal en sus más de 700 servidores distribuidos en más de 50 países.
Jurisdicción sueca y solicitudes legales de datos
Suecia pertenece a la alianza de intercambio de inteligencia de los 14 Ojos. Eso suena alarmante a primera vista. En la práctica, el marco legal ofrece una historia más matizada para los proveedores de VPN.
La legislación sueca no obliga a las empresas de VPN a retener datos de usuarios. Mullvad no tiene ninguna obligación de retención de datos bajo la regulación sueca de telecomunicaciones vigente. Esto significa que las autoridades pueden emitir solicitudes, pero Mullvad no tiene nada almacenado que entregar.
En abril de 2023, la policía sueca entró físicamente a las oficinas de Mullvad en Gotemburgo con una orden de registro. Los agentes tenían la intención de incautar equipos con datos de clientes. El personal de Mullvad explicó que no existían datos de clientes en ninguna máquina, y la policía se marchó con las manos vacías. Esa prueba del mundo real demostró que la política de no registros se mantiene bajo presión legal.
Historial de auditorías independientes
Mullvad ha completado múltiples auditorías de seguridad realizadas por terceros. Cada auditoría examinó diferentes partes de la infraestructura y las aplicaciones cliente.
Auditoría de Cure53 (2020)
Cure53, una empresa de pruebas de penetración con sede en Berlín, auditó las aplicaciones de Mullvad VPN en 2020. El equipo identificó 7 vulnerabilidades en total: 2 clasificadas como de gravedad media y 5 de gravedad baja. Mullvad corrigió las 7 vulnerabilidades antes de publicar el informe de auditoría completo en su sitio web.
Auditoría de Assured AB (2023)
Assured AB realizó una auditoría de infraestructura de los servidores y sistemas internos de Mullvad en 2023. La evaluación cubrió las configuraciones de servidores, la implementación del cifrado y los procedimientos de manejo de datos. Los resultados confirmaron que la infraestructura de Mullvad coincidía con sus declaraciones públicas de no registros. No se descubrieron vulnerabilidades críticas durante este proceso.
Auditoría de aplicaciones de Cure53 (2023)
Cure53 regresó para una segunda ronda en 2023, enfocándose en el código actualizado de las aplicaciones. Este seguimiento encontró menos problemas que la auditoría de 2020. Mullvad resolvió todos los hallazgos y nuevamente publicó el informe completo para revisión pública.
Publicar informes de auditoría completos es poco común en la industria de las VPN. Mullvad no redacta hallazgos ni selecciona únicamente los resultados favorables. Esa transparencia añade un peso significativo a sus afirmaciones de seguridad.
Política de registros: qué almacena y qué no almacena Mullvad
Datos que Mullvad no recopila
Mullvad no registra datos de tráfico, marcas de tiempo de conexión, duraciones de sesión ni direcciones IP. No almacena consultas DNS, registros de uso de ancho de banda ni asignaciones de servidores VPN. La actividad de la cuenta permanece completamente desvinculada del comportamiento de navegación o de los metadatos de conexión.
Datos que Mullvad sí procesa
Mullvad procesa el número total de conexiones simultáneas por cuenta (limitado a 5). Este contador existe en tiempo real y no se escribe en ningún almacenamiento persistente. En el momento en que te desconectas, ese contador disminuye. No persiste ningún registro histórico.
Mullvad también procesa datos agregados de carga del servidor a corto plazo para la optimización del rendimiento. Estos datos no contienen información identificable del usuario y rotan automáticamente.
El sistema de cuentas
Mullvad genera un número de cuenta aleatorio de 16 dígitos. No se requiere correo electrónico, nombre ni contraseña. Puedes pagar con efectivo enviado en un sobre, Bitcoin o Monero. Este diseño elimina completamente la información de identificación personal del proceso de registro.
Estándares de cifrado y protocolos
Mullvad admite dos protocolos: WireGuard y OpenVPN. Ambas implementaciones utilizan estándares criptográficos sólidos y bien revisados.
Implementación de WireGuard
WireGuard utiliza ChaCha20 para el cifrado simétrico, Curve25519 para el intercambio de claves y BLAKE2s para el hashing. Mullvad usa WireGuard por defecto en todas las plataformas. Los apretones de manos de conexión se completan en menos de 100 milisegundos en la mayoría de las redes.
Implementación de OpenVPN
Las conexiones OpenVPN utilizan AES-256-GCM para el cifrado del canal de datos. El intercambio de claves se basa en certificados RSA-4096 con autenticación SHA-512. Mullvad configura OpenVPN con tls-auth para evitar la huella digital y los ataques DDoS al túnel VPN.
Túneles resistentes a la computación cuántica
Mullvad añadió el intercambio de claves post-cuántico a los túneles WireGuard en 2023. Esta función superpone la encapsulación de claves Classic McEliece y Kyber sobre la criptografía estándar de WireGuard. Mullvad fue la primera VPN comercial en implementar esta función en plataformas de escritorio.
Kill switch y protección contra fugas de DNS
Comportamiento del kill switch
El kill switch de Mullvad se activa por defecto en todas las plataformas. Bloquea todo el tráfico de internet cuando el túnel VPN cae inesperadamente. La implementación opera a nivel de firewall, no a nivel de aplicación. Esto previene fugas incluso si la aplicación de Mullvad se cierra por completo.
En Linux, Mullvad utiliza reglas nftables para imponer el bloqueo del tráfico. En Windows, modifica la Plataforma de Filtrado de Windows. En macOS, utiliza reglas de filtro de paquetes. Cada implementación previene simultáneamente tanto las fugas IPv4 como las IPv6.
Protección contra fugas de DNS
Mullvad enruta todas las consultas DNS a través de sus propios servidores DNS cifrados. La aplicación bloquea las solicitudes DNS del sistema que intentan eludir el túnel. Mullvad opera servidores DNS en cada ubicación de servidor VPN, resolviendo consultas localmente sin reenviarlas a terceros.
Los usuarios también pueden configurar DNS personalizado dentro de la aplicación. Incluso con DNS personalizado, las consultas siguen viajando dentro del túnel cifrado. Las pruebas de fugas independientes muestran consistentemente cero fugas de DNS, WebRTC o IPv6 en todos los clientes de Mullvad.
Incidentes de seguridad pasados
Redada policial (abril de 2023)
Seis agentes de la Policía Nacional sueca entraron a las oficinas de Mullvad en Gotemburgo. Portaban una orden de registro del tribunal de distrito en busca de información de clientes. El director ejecutivo de Mullvad explicó que la empresa no almacena datos de clientes. La policía no incautó ningún equipo y se marchó después de que el equipo legal de Mullvad impugnó la aplicabilidad de la orden.
Sin brechas de datos conocidas
Hasta el último ciclo de auditoría, Mullvad no ha reportado ninguna brecha de datos. Ningún dato de usuario ha aparecido en bases de datos filtradas. Los ataques de relleno de credenciales no aplican porque Mullvad no utiliza contraseñas ni direcciones de correo electrónico. El sistema de número de cuenta de 16 dígitos reduce sustancialmente la superficie de ataque.
Divulgaciones de vulnerabilidades
Mullvad mantiene un enfoque activo de recompensas por errores y publica avisos de seguridad en su blog. Todas las vulnerabilidades encontradas durante las auditorías recibieron parches en cuestión de semanas tras su descubrimiento. La empresa no ha experimentado ninguna explotación de día cero en su infraestructura de producción.
Características de seguridad únicas
DAITA (Defensa contra el análisis de tráfico guiado por IA)
Mullvad desarrolló DAITA para contrarrestar los ataques de análisis de tráfico. Esta función rellena los paquetes a tamaños uniformes e inyecta patrones de tráfico señuelo. Evita que los adversarios identifiquen qué sitios web visitan los usuarios basándose en las huellas del tráfico.
DNS cifrado sobre HTTPS (DoH)
Mullvad ofrece un servicio público de DoH en dns.mullvad.net. Los usuarios pueden cifrar las consultas DNS incluso sin tener la VPN activa. El servicio incluye perfiles DNS opcionales de bloqueo de anuncios y rastreadores.
Servidores sin disco solo en RAM
Mullvad opera toda su flota de servidores en modo solo RAM. No existen discos duros en los servidores. Cada reinicio borra completamente todos los datos. Esta arquitectura garantiza que las incautaciones físicas de servidores no produzcan información utilizable.
Enrutamiento multisalto
Los usuarios pueden enrutar el tráfico a través de 2 servidores VPN separados en diferentes países. Esto añade una segunda capa de cifrado y separa el punto de entrada del punto de salida. El multisalto es configurable directamente dentro de la aplicación sin configuración manual.
Preguntas frecuentes
¿Mullvad guarda registros?
Mullvad no guarda registros persistentes. Ningún registro de tráfico, marca de tiempo de conexión, dirección IP ni dato de sesión toca el almacenamiento en disco. Dos auditorías independientes verificaron esta afirmación. La infraestructura de servidores solo en RAM garantiza que incluso los datos temporales desaparezcan al reiniciar. La redada policial de 2023 a Mullvad confirmó que no existían datos de usuarios que incautar.
¿Ha sido hackeado Mullvad?
Mullvad no ha sido hackeado. No se han reportado ni descubierto durante las auditorías brechas de datos ni eventos de acceso no autorizado. El sistema de cuentas sin contraseña y los servidores solo en RAM reducen la superficie de ataque por debajo de la de los proveedores de VPN típicos. Cure53 no encontró vulnerabilidades críticas durante las auditorías de 2020 ni de 2023.
¿Es Mullvad de confianza?
Mullvad demuestra su fiabilidad a través de auditorías independientes repetidas, transparencia total en los informes y una prueba legal en el mundo real. La empresa publica su código fuente abiertamente en GitHub. Acepta pagos anónimos en efectivo. Sobrevivió a un registro policial sin ceder ningún dato. Estas acciones verificadas tienen más peso que las promesas de marketing.
¿Puede Mullvad ver mis datos?
Mullvad no puede ver tus datos de navegación. El tráfico dentro del túnel VPN utiliza cifrado AES-256 o ChaCha20. Los servidores de Mullvad procesan paquetes cifrados pero no inspeccionan, registran ni almacenan contenido. La arquitectura solo en RAM evita que cualquier dato procesado temporalmente persista más allá de la sesión activa.
La conclusión sobre la seguridad de Mullvad
Mullvad se gana su puntuación de confianza de 86/100 a través de su arquitectura, no de promesas. Los servidores solo en RAM, el anonimato de las cuentas, los informes de auditoría publicados y el resultado verificado de la redada policial lo diferencian. La tarifa plana de €5/mes sin pruebas ni descuentos refleja una empresa enfocada en el servicio más que en el volumen de suscriptores. Para los usuarios que priorizan la verificación de la privacidad sobre la cantidad de funciones, Mullvad sigue siendo una de las opciones más sólidas disponibles en sus más de 700 servidores en más de 50 países.