Los VPN dejaron hace rato de ser una curiosidad para frikis de informática. Hoy los ves en anuncios de YouTubers, en promos de servicios de streaming y hasta en la intranet de tu empresa como parte del paquete de seguridad. En el imaginario colectivo se instaló una idea muy simple: si usas VPN, eres más anónimo, más seguro y, de paso, saltas bloqueos geográficos. 
Pero esa imagen de solución mágica es justo lo que están aprovechando los ciberdelincuentes. Bajo la etiqueta de VPN están apareciendo apps que no protegen nada, sino que abren la puerta a robos de datos. Y ahí es donde entra la advertencia seria que está lanzando Google.
Qué hace realmente un VPN (y qué no hace)
Para entender el problema, primero hay que tener claro qué es lo que hace un VPN que funcione de verdad. Cuando activas el servicio, se crea un túnel cifrado entre tu dispositivo y un servidor del proveedor de VPN. Todo tu tráfico pasa primero por ese túnel y solo después sale a Internet. Lo que ven las webs y servicios con los que hablas ya no es la IP de tu casa o de tus datos móviles, sino la IP del servidor del VPN. Eso complica el rastreo por parte de tu operador, dificulta el trabajo de las redes de publicidad y permite que accedas a contenido que solo está disponible en otros países.
Eso sí, nada es gratis en términos técnicos. Cifrar y reenviar el tráfico añade pasos extra. Es perfectamente normal que un test de velocidad con el VPN encendido muestre menos megas de bajada y subida, sobre todo si el servidor está lejos o muy cargado. Un VPN serio es una herramienta de privacidad y de enrutamiento, no un turbo para tu fibra. Si un servicio te promete Internet más rápida solo por encender el túnel, desconfía.
La oleada de apps falsas de VPN que preocupa a Google
Sobre este contexto se montan ahora los atacantes. En un informe reciente, Google detalla un aumento de aplicaciones que se disfrazan de VPN legítimos. Algunas copian nombre, logo y colores de marcas conocidas; otras se inventan títulos genéricos que suenan a seguridad absoluta. La publicidad se apoya muchas veces en el miedo: censura, gobiernos que espían, redes sociales bloqueadas, bancos vulnerables. El mensaje es sencillo: instala ya este VPN y arregla todo de golpe.
El problema llega después del toque en el botón de instalar. Una vez dentro del teléfono, muchas de esas apps descargan componentes ocultos que no tienen nada que ver con privacidad. Hablamos de malware diseñado para robar credenciales, troyanos bancarios que se colocan encima de la app de tu banco para capturar usuario, clave y códigos, spyware que lee tus mensajes y notificaciones, o módulos que rastrean tu dispositivo en busca de monederos de criptomonedas. El icono dice VPN; el código se comporta como una puerta trasera.
Para la gente que se estrena con este tipo de herramientas, la trampa es perfecta. Alguien escucha que ahora hay que usar VPN sí o sí, busca rápido en la tienda de apps, abre el primer resultado con buena puntuación, acepta todas las permisos sin leer y listo. Lo que no ve es que ese supuesto VPN está pidiendo acceso a SMS, a llamadas, a la pantalla y a todo el almacenamiento. Resultado: en lugar de ganar privacidad, la pierde por completo.
Cómo intenta ayudarte Google Play Protect
En el mundo Android, la primera barrera frente a este desastre se llama Google Play Protect. Es un sistema integrado que analiza las apps cuando las instalas y también más adelante, en segundo plano. Google entrenó modelos de aprendizaje automático para detectar patrones raros de comportamiento, combinaciones sospechosas de permisos y firmas de malware conocidas. Además, una función de protección avanzada contra fraudes bloquea algunas apps que piden tipos de acceso muy usados en estafas financieras.
Si intentas instalar un APK dudoso descargado desde el navegador, un gestor de archivos o un enlace por mensajería, Play Protect puede simplemente impedir la instalación. Y aquí hay una regla que no falla: si un VPN te pide desactivar Play Protect, ignorar avisos de seguridad o marcar opciones del tipo permitir de todos modos, ese VPN no merece tu confianza. Un proveedor serio no necesita pelearse con las defensas básicas del sistema operativo.
La visión de CISA: el riesgo no desaparece, se mueve
A la advertencia de Google se suma la de la CISA, la agencia de ciberseguridad e infraestructuras del Departamento de Seguridad Nacional de EE. UU. Su mensaje es incómodo pero necesario: un VPN personal no borra el riesgo, solo lo desplaza. Sin VPN, tu tráfico pasa directamente por tu proveedor de Internet; con VPN, pasa por la empresa del VPN. Esa compañía se convierte en un nuevo punto central por donde circula todo lo que haces. Si maneja mal los datos, registra más de la cuenta o tiene una política de privacidad llena de agujeros, puedes acabar peor que al principio.
CISA insiste también en que muchos servicios gratuitos, y algunos de pago, tienen textos legales tan vagos que es casi imposible saber qué se recoge y con quién se comparte. Frases como recopilamos solo metadatos anónimos suenan bien, pero no dicen casi nada. Antes de confiarles tu vida digital, hay que hacerse una pregunta muy simple: de qué vive este negocio. Si la respuesta no es la suscripción, es probable que la mercancía seas tú.
Por qué los VPN totalmente gratis suelen ser mala señal
Los modelos gratis son una tentación. Datos ilimitados, sin registro, todo a un toque. Pero mantener servidores rápidos, pagar ancho de banda y desarrollar clientes para distintas plataformas cuesta dinero. Cuando nadie paga una cuota, la forma más rápida de recuperar la inversión suele ser explotar información de uso, mostrar publicidad agresiva o incluso revender el tráfico a terceros. En el peor de los casos, el VPN se convierte en una enorme máquina de seguimiento que concentra más datos de los que tendría tu operador.
Por eso, mucha gente del mundo de la seguridad prefiere servicios de pago con un modelo de negocio claro. Nombres como ExpressVPN, NordVPN o Surfshark aparecen a menudo en recomendaciones, igual que opciones centradas en privacidad como Proton VPN o Windscribe. No son perfectos ni mágicos, pero están bajo el foco constante de medios especializados y comunidades técnicas, y su reputación es parte del producto. Si quieres saltarte bloqueos de streaming, reforzar un poco la seguridad en Wi-Fi públicos o evitar que tu proveedor construya un perfil detallado de todo lo que haces, este tipo de servicios suele ser una apuesta más razonable que un VPN gratis sin cara ni apellidos.
VPN: una capa más, no un escudo absoluto
Conviene tener algo muy claro: un VPN es solo una capa de protección, no un escudo total. Quien busca niveles altos de anonimato combina varias piezas: navegador endurecido, extensiones que bloquean rastreadores, configuración más estricta en redes sociales, uso puntual de Tor o de proxies privados, separando identidades y cuentas. Todo eso requiere tiempo y disciplina, pero obliga a que tu rastro digital quede repartido y sea más difícil de explotar.
Buenas prácticas para usar VPN sin volarte a ti mismo
Si después de valorar pros y contras decides usar un VPN, hazlo con algo de método. Descarga solo desde Google Play o la App Store oficial; en Android deja Play Protect activado. Desconfía de aplicaciones con nombres genéricos, desarrolladores sin web propia o con políticas de privacidad de dos líneas. Dedica unos minutos a leer qué dicen sobre registros de actividad, cuánto tiempo guardan metadatos, si han pasado alguna auditoría independiente y cómo reaccionan ante solicitudes de información de autoridades.
A nivel técnico, busca funciones como interruptor de corte (kill switch) que desconecta Internet si se cae el túnel, y protección frente a fugas de DNS e IP, para que tu dirección real no se exponga en un despiste. Y, sobre todo, no abras tu banca online ni muevas criptomonedas con un VPN recién instalado del que no sabes nada solo porque ponía en grande la palabra seguro.
Desconfianza hacia las big tech y por qué el aviso sigue importando
Es lógico que muchos usuarios frunzan el ceño cuando el aviso viene precisamente de una empresa como Google, cuyo negocio gira en torno a los datos y la publicidad. La desconfianza es sana. Pero irse al extremo contrario y descartar cualquier advertencia solo porque la firma una big tech o una agencia gubernamental también es peligroso. Lo sensato es usar esa información como punto de partida, contrastarla con otras fuentes y con tu propia experiencia, y decidir con cabeza fría.
El futuro de la identidad digital y el papel del VPN
Mirando un poco más adelante, la discusión sobre identidad digital, documentos electrónicos y sistemas de inicio de sesión centralizados va a hacer que herramientas como el VPN ganen todavía más protagonismo. Si en más países se implantan esquemas de identidad en línea vinculados directamente a tu documento oficial, separar partes de tu vida digital de ese perfil único puede convertirse en una cuestión de autoprotección. Mejor aprender ahora a diferenciar un servicio serio de una app oportunista que improvisar en medio de una crisis.
Al final del día, un VPN no es ni héroe ni villano. Es un instrumento potente que puede reforzar tu privacidad o destrozarla, según quién lo ofrezca y cómo lo uses. Las advertencias de Google y de CISA no significan deja de usar VPN, sino deja de instalar cualquiera. Trátalo con el mismo cuidado que tratas la app de tu banco, no ignores los avisos de seguridad por pereza y recuerda que la verdadera protección empieza mucho antes de darle al botón de conectar.