Mullvad y el Problema de Correlación de WireGuard: Por Qué Incluso las Mejores VPN Tienen Límites
En mayo de 2026, la comunidad de privacidad se revolucionó tras descubrirse una limitación técnica en Mullvad VPN, uno de los proveedores más respetados del sector.
El problema: incluso con Mullvad, es posible correlacionar sesiones del mismo usuario entre cambios de servidor, debido a cómo se asignan las direcciones IP en su infraestructura WireGuard.
TLDR: Mullvad es excelente, pero su asignación de IP en WireGuard crea un vector de correlación de sesiones que la mayoría de usuarios desconoce. Si tu modelo de amenaza es serio, existe una configuración más compleja que lo soluciona (y cuesta más de lo que esperarías).
El Problema, Explicado de Forma Simple
Cada usuario de Mullvad recibe una clave privada de WireGuard y una IP interna de túnel. Los servidores de Mullvad usan rangos de IP públicas, y la posición relativa de tu IP de salida (la que realmente ven los sitios web) se mantiene estadísticamente estable dentro del rango del servidor. Esto significa que un observador (un sitio web, un rastreador o un adversario) puede, con probabilidad no trivial, inferir que 2 sesiones pertenecen al mismo usuario incluso después de cambiar de servidor.
Esto debilita directamente la no vinculabilidad: la garantía de que tus sesiones no pueden conectarse entre sí. Eso importa mucho para periodistas, denunciantes, investigadores OSINT, o cualquiera con un modelo de amenaza real.
Mullvad reconoció el problema y recomienda desconectarse completamente y reconectarse para regenerar una nueva clave en cada cambio importante de servidor. No es ideal para el uso diario fluido.
Las Opciones, De Simple a Avanzado
1. Quedarse con Mullvad (enfoque mínimo)
Ventajas: simplicidad, fuerte camuflaje entre miles de usuarios, política sin registros probada. Desventaja: necesitas reconectarte frecuentemente para romper la correlación. Perfecto para uso casual o si te sientes cómodo con el compromiso.
2. Auto-hospedado con nodo de salida
En lugar de una VPN compartida, montas tu propia salida a internet vía VPS. 3 opciones sólidas aquí:
- Tailscale: excelente UX, muy fácil de configurar, pero propietario (usa Headscale si quieres auto-hospedaje completo)
- NetBird: completamente open-source, interfaz moderna, ACLs granulares, sólida historia de auto-hospedaje
- Nostr VPN: la opción más descentralizada. La identidad y descubrimiento de peers ocurre vía claves Nostr (npub). Sin empresa tercera en la capa de coordinación.
Las 3 siguen el mismo principio: alquilas un VPS, lo configuras como nodo de salida, y todos tus dispositivos enrutan a través de él vía WireGuard. Todo sale desde esa IP del VPS. La filosofía de auto-hospedaje aquí no está lejos de reconstruir una configuración de $200/mes por una fracción del costo (control y reducción de costos son el mismo intercambio).
Control total, sin terceros en la capa de coordinación. La gran desventaja: las IPs de datacenter son fáciles de detectar, lo que significa captchas, bloqueos y puntuaciones de riesgo altas en la mayoría de servicios.
3. Auto-hospedado + proxy residencial
Esta es la configuración más compleja. Enrutas el tráfico de tu VPS a través de un proxy residencial en lugar de dejar que los sitios vean una IP de proveedor de hosting. Ven una IP residencial regular, idealmente rotativa. Esto es básicamente la misma mentalidad de ejecutar-tu-propia-infraestructura-en-un-VPS-barato, aplicada a infraestructura de privacidad en lugar de agentes de IA.
Menos banderas, mejor camuflaje, rotación de IP opcional. Funciona. Creo que esta configuración escala bien para modelos de amenaza individuales, aunque honestamente no estoy seguro de cómo aguanta bajo targeting adversarial sostenido (ese es un juego diferente).
Proveedores de proxy que vale la pena mirar: Bright Data, Oxylabs, Decodo, IPRoyal, NetNut, y Webshare.io (precios competitivos, buen punto de entrada).
Webshare.io: Una Opción Sólida y Económica para Esta Configuración
Webshare.io ofrece proxies de datacenter, IPs residenciales estáticas, e IPs residenciales rotativas. Algunas razones por las que encaja aquí: precios agresivos, soporte SOCKS5 (fácil de conectar en una configuración VPS), opciones residenciales tanto estáticas como rotativas, y 10 proxies gratuitos para probar la configuración antes de comprometerse.
Con NetBird o Nostr VPN + un VPS + Webshare como salida, obtienes una malla cifrada entre tus dispositivos, salida de IP residencial (rotativa si quieres), y control total de infraestructura.
Comparando las Opciones
Solo Mullvad: excelente camuflaje, resistencia media a banderas, control medio, alrededor de 5-6 EUR/mes, complejidad casi cero.
VPS + Tailscale o NetBird (sin proxy): camuflaje débil, mala resistencia a banderas, excelente control, 10-30 EUR/mes, complejidad media.
VPS + NetBird o Nostr VPN + proxy residencial: buen camuflaje, buena resistencia a banderas, excelente control, 50-300 EUR+/mes, alta complejidad.
Auto-hospedado + Webshare: buen camuflaje, buena resistencia a banderas, muy buen control, 40-250 EUR/mes, complejidad media a alta.
La limitación de Mullvad es un buen recordatorio de la verdad fundamental en privacidad: todo son compromisos.
Mullvad sigue siendo excelente para la mayoría de personas debido al camuflaje natural a escala. Las configuraciones auto-hospedadas con proxies residenciales son para personas que quieren máximo control y están dispuestas a pagarlo tanto en dinero como en complejidad. Añadir Webshare mejora significativamente la experiencia al enmascarar el origen del datacenter.
Si tu modelo de amenaza es serio, la combinación auto-hospedado + proxy residencial rotativo es uno de los enfoques más fuertes disponibles ahora mismo.
Fuentes
Este post puede contener enlaces de afiliado. Si haces clic en ellos, podría ganar una pequeña comisión (no te cuesta nada, y me ayuda a seguir enviando artículos de calidad cada día para tu placer de lectura).