Fingerprinting en Mullvad VPN: riesgos reales y cómo protegerte

Última actualización: 21/05/2026
Autor: Isaac
  • El fingerprinting permite identificarte combinando parámetros de navegador, hardware y comportamiento, incluso si usas VPN.
  • Mullvad sufrió un vector de correlación de IPs de salida que podía vincular sesiones entre servidores, ya en proceso de corrección.
  • Mullvad Browser mitiga el fingerprinting con configuración estandarizada, APIs limitadas, aislamiento de cookies y sin telemetría.
  • VPN y navegador endurecido deben integrarse en una estrategia de seguridad más amplia basada en Zero Trust y defensa en profundidad.

fingerprinting en Mullvad VPN

En este artículo vamos a desgranar con calma qué es exactamente el fingerprinting en Mullvad VPN (tanto a nivel de navegador como a nivel de IP y servidores), qué se ha descubierto sobre la asignación de direcciones de salida, cómo funciona la protección específica del Mullvad Browser, qué límites tiene realmente una VPN en términos de anonimato y qué puede hacer una persona o una startup para reforzar su modelo de seguridad más allá del simple “me conecto a una VPN y listo”.

Qué es el browser fingerprinting y por qué es tan puñetero

El fingerprinting del navegador consiste en construir una huella casi única de tu dispositivo a partir de la información que tu browser comparte automáticamente con cada web que visitas. No hablamos de algo exótico o ilegal: forma parte del propio diseño de la web, donde el sitio “pregunta” a tu navegador por datos necesarios para mostrarte bien el contenido.

Cuando entras en una página, ésta puede recopilar detalles como el tipo y versión de navegador, sistema operativo, tarjeta gráfica, drivers, lista de fuentes instaladas, plugins, tamaño de la pantalla o zona horaria. Cada uno de estos atributos, por separado, parece inocuo. El problema llega cuando se combinan: el conjunto de respuestas puede ser tan peculiar que te conviertes en un usuario prácticamente único a ojos de quien recopila esos datos.

La diferencia con las cookies o la IP es importante. Una cookie es un archivo que se guarda de forma local en tu dispositivo y que puedes borrar o bloquear. La dirección IP está directamente asociada a tu conexión, y es obvio que sirve para localizarte y seguir tu rastro a lo largo del tiempo. El fingerprinting, en cambio, funciona en un nivel más opaco: es una forma de huella digital que no ves nada, no tienes un mensaje de “aceptar” o “rechazar” y, en la práctica, no sabes que estás siendo perfilado.

Organizaciones como la Electronic Frontier Foundation (EFF) y el propio Tor Project llevan años avisando: no hace falta almacenar una cookie con un identificador único si el fingerprint del navegador ya es suficientemente distintivo. En muchos estudios empíricos se ha comprobado que una altísima proporción de navegadores tienen una huella única o casi única.

La cosa se complica porque, según la investigación académica y el desarrollo del propio web, cada nueva API o función gráfica puede abrir una vía adicional para el fingerprinting: gráficos 3D, audio, fuentes, sensores… A medida que la web “se enriquece”, también se enriquecen las formas de reconocerte.

Técnicas avanzadas de fingerprinting: Canvas, WebGL, AudioContext y DrawnApart

Más allá de las típicas cabeceras del navegador, hoy se utilizan técnicas bastante sofisticadas para distinguir dispositivos entre sí. Una de las más conocidas es el Canvas fingerprinting. Un script pide a tu navegador que dibuje un texto y un emoji con determinados colores y tipografías. A simple vista, el resultado puede parecer idéntico en dos ordenadores distintos, pero a nivel de datos binarios, las diferencias en fuentes, GPU y drivers producen una imagen ligeramente distinta que puede ser convertida en una huella.

Algo similar ocurre con WebGL, la API que permite renderizar gráficos 3D en el navegador. Un sitio puede solicitar que se “dibuje” un simple triángulo en 3D. Aunque a ojo humano todos los triángulos se vean igual, el hash del contenido renderizado expone características de tu hardware gráfico y de su implementación concreta. Desde el propio Tor Project se ha señalado WebGL como uno de los mayores vectores de fingerprinting en la web moderna, al punto de que el hash de la imagen puede usarse prácticamente como si fuera una cookie.

El fingerprinting de audio, mediante la API AudioContext, explota algo parecido: al generar una señal y medir cómo la procesa tu tarjeta de sonido y sus drivers, se obtiene una salida con variaciones muy finas que pueden servir para diferenciar dispositivos, incluso cuando en teoría usan el mismo hardware.

Investigaciones recientes, como el trabajo conocido como DrawnApart, han ido un paso más allá. Ahí se demostró que incluso dos GPUs del mismo modelo, salidas de la misma fábrica, presentan pequeñas variaciones en su proceso de fabricación que se traducen en diferencias de tiempos de renderizado. Midiendo con precisión milimétrica esos tiempos, los autores lograron crear huellas distintas para máquinas que, sobre el papel, eran idénticas. Dicho en plata: ni siquiera basta con “esconderse” detrás de un hardware común, porque la fabricación introduce matices que se pueden explotar.

Todo esto explica por qué, en estudios de organizaciones como la EFF o distintas universidades, cerca del 90‑99 % de los navegadores acaban siendo únicos en un conjunto suficientemente grande. Y si tu navegador es único, da igual que cambies de IP o borres cookies: tu huella te delata.

Uso masivo del fingerprinting en la web actual

Que el fingerprinting sea técnicamente posible ya no es una novedad; lo preocupante es su grado de adopción. Distintos análisis han detectado que una porción muy relevante de las webs más visitadas del mundo ya integra algún tipo de script de fingerprinting.

Por ejemplo, un estudio comentado por Wired señalaba que aproximadamente un cuarto de los 10.000 dominios más populares (según el ranking de Alexa en su momento) ejecutaban scripts de este tipo. ZDNet publicó cifras similares, apuntando a que en torno al 10 % de las 100.000 webs top ya incorporaban técnicas avanzadas para perfilar usuarios. Los medios hablaban sin rodeos de un “mecanismo de seguimiento de nueva generación” que toma el relevo de las cookies de terceros, cada vez más acorraladas por la regulación y los navegadores.

  Cómo saber si tu wifi es 2.4 GHz o 5 GHz: guía definitiva para identificar la banda

En el terreno académico, trabajos de la EFF ya en 2010 mostraban que más del 90 % de los navegadores analizados generaban fingerprints únicos, llegando a extraer unicidad en el 94 % de los casos cuando los usuarios tenían Flash o Java activos. Posteriores recogidas de huellas por universidades francesas demostraron que, en conjuntos de más de 100.000 fingerprints, cerca del 90 % eran únicos. Otro estudio conjunto entre la Universidad de Lehigh y la de Washington en St. Louis aseguraba poder identificar correctamente al 99,24 % de los usuarios bajo su modelo.

En paralelo, expertos y activistas han avisado de que, para colectivos con necesidades críticas de confidencialidad —periodistas, activistas, personal militar o directivos de empresas sensibles—, este tipo de técnicas dejan de ser un tema puramente teórico. Estos grupos ya no pueden permitirse ignorar el fingerprinting si quieren mantener sus actividades a salvo de correlaciones y seguimientos a largo plazo.

La posición del Tor Project y el enfoque «hide in the crowd»

El Tor Project ha sido probablemente la entidad que más ha empujado la idea de que la única defensa razonable frente al fingerprinting es parecerse al máximo a los demás. Su filosofía es simple pero contundente: si todos los usuarios de un navegador dan exactamente la misma huella, es mucho más difícil distinguir a uno concreto dentro de la masa.

En sus materiales explican, además, un fenómeno curioso que han bautizado como la «paradoja de la privacidad fingerprintable». Básicamente, cuantas más extensiones, parches y ajustes personalizados aplicas a tu navegador para “protegerte”, más diferente te vuelves del resto. Es decir, tus defensas se convierten en tu propio identificador. Instalar un montón de plugins raros o cambiar docenas de flags puede ser justo lo que necesitas para transformarte en un outlier que destaca en cualquier base de datos de fingerprints.

Desde Tor insisten también en que el fingerprinting tiene dos grandes ventajas para quien vigila: no necesita pedir permiso para recolectar datos, y funciona incluso si el usuario cree haber tomado medidas clásicas como borrar cookies o usar una VPN. Cualquier script que se ejecute en tu navegador puede empezar a construir tu huella sin que veas ni un solo aviso.

Y por si fuera poco, admiten que el fingerprinting no va a desaparecer en un futuro cercano. Se apoya en mecanismos y APIs tan arraigados en la arquitectura de la web que eliminarlo por completo sería extremadamente complejo. Lo que sí se puede hacer es mitigar su impacto con navegadores endurecidos y modelos de “todos nos parecemos”, como veremos en el caso de Mullvad Browser. El Tor Project promueve estas ideas incluso a través del Tor Browser.

Fingerprinting en Mullvad VPN a nivel de servidores y direcciones IP

Más allá del navegador, ha salido a la luz un aspecto delicado relacionado con cómo Mullvad asignaba las IP de salida en sus servidores. Un investigador de seguridad descubrió que esa asignación no era completamente aleatoria, sino que se basaba en un mecanismo determinista vinculado al perfil o clave del usuario.

Cada servidor de Mullvad gestiona muchos clientes de forma simultánea. Por motivos técnicos (limitaciones del número de conexiones por IP, gestión de NAT, etc.), un servidor no usa una sola IP de salida, sino un rango entero de direcciones. Cuando te conectas a un servidor, se te asigna una IP de salida concreta dentro de ese rango y, además, una dirección interna de túnel junto con una clave WireGuard única.

El problema que se identificó es que, si el usuario cambiaba de servidor pero mantenía la misma dirección interna y clave WireGuard, la posición relativa de su IP de salida dentro del rango del nuevo servidor tendía a repetirse. Por ejemplo, si en el servidor A se te asignaba la IP situada aproximadamente al 40 % del rango, en el servidor B también solía tocarte una IP en torno al 40 % de su propio rango. La consecuencia práctica es que un observador con capacidad de ver el tráfico que sale de varios servidores podía hacer buenas conjeturas para vincular sesiones de un mismo usuario entre servidores distintos.

Es importante matizar que esto no revelaba la identidad real de la persona —no aparecía tu nombre ni tu dirección física—, pero sí permitía inferir que “el mismo sujeto” que antes salía por una IP de un servidor ahora está saliendo por una IP muy concreta de otro servidor. Para quienes cambian de servidor precisamente para que no se puedan correlacionar actividades entre nodos, este comportamiento era un problema serio.

Esta correlación de IPs de salida se entiende mejor como un vector de fingerprinting a nivel de infraestructura: incluso cuando muchos usuarios comparten las mismas IP, el patrón de asignación relativo puede crear una especie de huella que facilite inferencias, sobre todo si se combina con información de horarios, volumen de tráfico u otros metadatos.

Respuesta de Mullvad al problema de correlación de IP de salida

Tras detectar y comunicar este comportamiento, Mullvad reconoció públicamente el riesgo de correlación entre servidores y explicó con bastante detalle qué estaba pasando. En su aviso indicaron que el vector afectaba, sobre todo, a usuarios que cambiaban de servidor con la intención explícita de “romper” cualquier posible enlace entre actividades pasadas y futuras.

Como mitigación inmediata, recomendaron que, si se cambia de servidor con ese objetivo de anonimato reforzado, el usuario cerrase sesión en la app de Mullvad y volviera a iniciar sesión. Esto fuerza la generación de una nueva clave WireGuard y un nuevo túnel interno, reduciendo la probabilidad de que la IP de salida mantenga una posición correlacionable en otros servidores.

Paralelamente, la compañía anunció que estaba probando un nuevo método de asignación de IPs de salida diseñado para que el patrón usado en un servidor no aporte ninguna pista sobre la dirección que se utilizará en otro. Es decir, que observar qué IP te toca en el servidor X no permita anticipar ni inferir con facilidad cuál te tocará en el servidor Y, ni ayude a distinguir tu tráfico del de otros usuarios dentro del mismo nodo.

  Adware Helpers | Qué Es, Cómo Afecta tu PC y Cómo Eliminarlo

Este tipo de transparencia encaja con la imagen de Mullvad como VPN centrada en la privacidad y sin registros, pero también deja una enseñanza incómoda: incluso proveedores muy orientados al anonimato pueden cometer errores de diseño que acaben abriendo puertas a la correlación de tráfico.

Fingerprinting, VPN y startups: por qué no basta con “poner una VPN y ya”

En el mundo startup es habitual asumir que con usar una VPN “de las buenas” ya se ha resuelto el apartado de privacidad. El caso de Mullvad, tanto por el tema de las IPs de salida como por las propias limitaciones del fingerprinting de navegador, muestra que esta visión es demasiado simplista para entornos tech que manejan información sensible.

Una VPN aporta dos cosas fundamentales: cifra el tráfico entre tu dispositivo y el servidor VPN y oculta tu IP real detrás de una IP de salida compartida. Pero no protege de todo. Un observador puede seguir viendo volumen de tráfico, momentos de conexión, tipos de protocolo y patrones temporales. Y, desde luego, la VPN no bloquea el fingerprinting del navegador ni las fugas via WebRTC, DNS mal configurados, scripts de tracking o extensiones indiscretas.

Para una startup que usa VPN para acceso remoto a infraestructura, trabajo desde redes Wi‑Fi públicas, investigación de mercados o de competidores, o protección de comunicaciones, esto implica que siguen existiendo vectores de exposición. Un adversario capaz de correlacionar fingerprints, IP de salida y horario de uso puede inferir cosas tan delicadas como la estructura de turnos de trabajo, quién se conecta a qué sistema o desde qué países se opera realmente.

Por eso cada vez más empresas tecnológicas complementan —e incluso reemplazan— el uso tradicional de VPN por modelos de Zero Trust Network Access (ZTNA). En lugar de fiarse de “todo lo que viene desde la VPN”, el acceso se concede en base a múltiples señales: identidad autenticada con MFA, integridad del dispositivo, contexto geográfico, horario, riesgos conocidos, etc. La VPN sigue siendo útil como capa de cifrado, pero deja de ser la pieza central del modelo de seguridad.

Cómo protege el Mullvad Browser frente al fingerprinting

Mullvad, en colaboración con el Tor Project, ha desarrollado el Mullvad Browser, un navegador basado en la tecnología de Tor Browser pero pensado para usarse con una VPN en lugar de con la red Tor. El objetivo es facilitar que todos sus usuarios se “confundan” entre sí compartiendo prácticamente el mismo fingerprint.

Para lograrlo, la configuración viene endurecida de fábrica. Se activa el modo de resist fingerprinting de Firefox, que altera o enmascara muchos parámetros típicamente usados para crear huellas: agente de usuario, zona horaria, comportamiento de ventanas, etc. Además, sólo se expone un conjunto limitado de fuentes al navegador, se deshabilitan o recortan APIs de hardware susceptibles de filtrarte (como la información detallada de CPU, hilos de ejecución o ciertos sensores) y se limita el acceso a funciones de WebGL que permiten leer lo renderizado, bloqueando por ejemplo la función readPixels.

Otro vector habitual de fingerprint es el tamaño exacto de la ventana del navegador. Todos tenemos manías: hay quien maximiza siempre la ventana, otros prefieren media pantalla, otros la arrastran continuamente. Cada combinación de tamaño y proporción puede volverse parte de tu huella. Para evitarlo, Mullvad Browser introduce la técnica de letterboxing: añade bordes para redondear las dimensiones a bloques predefinidos, de modo que sea mucho más complicado extraer un identificador único a partir de esa medida.

En cuanto a cookies, el navegador funciona siempre en modo privado. No guarda historial ni cookies entre sesiones, y además utiliza First-Party Isolation (FPI) para que los terceros (por ejemplo, la típica gran empresa de publicidad que aparece en mil webs) no puedan correlacionar todas tus visitas. Cada sitio que visitas recibe sus “propias” cookies de terceros aisladas en “tarros” separados; cuando pasas a otro dominio, esos mismos trackers, aunque estén presentes, se ven limitados a un contenedor distinto, con lo que su capacidad de construir un perfil continuo disminuye radicalmente.

Para completar la protección, Mullvad Browser incluye de serie uBlock Origin como bloqueador de scripts y trackers, aunque con una filosofía prudente: bloquea una gran cantidad de rastreadores y anuncios de terceros, pero se evita caer en la tentación de añadir mil listas y parches que podrían hacer el navegador demasiado distintivo. La idea es bloquear lo más peligroso y ruidoso sin convertir la configuración por defecto en algo raro que solo usan cuatro gatos.

Otro punto clave es la eliminación total de la telemetría. Mientras que muchos navegadores recopilan métricas de uso, informes de fallos y comprobaciones periódicas de actualización que, en teorías, se usan para mejorar el producto, Mullvad opta por no recoger nada: sin sesiones contadas, sin estadísticas de uso, sin datos de comportamiento. Esa decisión encaja con su filosofía general de “no confiar en que alguien guarde bien tus datos, sino directamente no tenerlos”.

El papel de las extensiones: cuando protegerte te hace más visible

La teoría está clara: cuantas menos diferencias haya entre tu navegador y el de los demás usuarios del mismo perfil, más difícil será identificarte. En la práctica, los usuarios tienden a instalar extensiones adicionales (VPNs extra, gestores de contraseñas, overlays de vídeo, scripts de productividad, etc.), y cada extensión nueva es una oportunidad para que tu fingerprint se vuelva único.

  5 Mejores Programas Para Convertir PC en Router WiFi

Dentro de la propia comunidad de Mullvad y Tor se ha debatido mucho sobre esto. Algunas pruebas han mostrado que determinadas extensiones dejan recursos web accesibles, scripts inyectados o cambios en el DOM que una página puede detectar para deducir qué extensiones llevas puestas. Otras pueden provocar peticiones de red adicionales muy características. Aunque los permisos mostrados por el navegador al instalar una extensión dan una pista, no son lo bastante finos como para determinar por sí solos si algo será fingerprintable.

Al analizar el manifiesto de una extensión se pueden buscar señaladores como recursos web accesibles, content scripts que modifican páginas, capacidad de interceptar tráfico o permiso para actuar en <all_urls>. Pero incluso con todo eso, no siempre está claro si un cambio será estable y consistente como para servir de huella. Una extensión que modifica páginas de forma aleatoria, por ejemplo, sería poco útil como vector de seguimiento.

Pese a toda esta complejidad, la recomendación que se acaba imponiendo es bastante contundente: en navegadores cuya estrategia de defensa se basa en la uniformidad, como Tor Browser o Mullvad Browser, lo más sensato es no instalar ninguna extensión adicional. Cuanto más te salgas del perfil estándar, mayor es el riesgo de que termines siendo identificable, aunque en teoría “mejoren tu privacidad”.

Limitaciones reales: casos como fingerprint.com o tests de «Cover your Tracks»

Algunos usuarios de Mullvad Browser han observado comportamientos curiosos al usar herramientas de test de fingerprinting como fingerprint.com o Cover Your Tracks de la EFF. Por ejemplo, hay reportes de gente que, aun pulsando el botón de “New Identity” en el navegador o cerrando y abriendo sesiones, ve cómo esas páginas les muestran el mismo identificador de visitante en distintas visitas.

Esto sirve para recordar una idea importante: los test de laboratorio o las herramientas online son útiles para hacerse una idea general, pero no siempre reflejan de forma exacta cómo funcionan los mecanismos de seguimiento en el mundo real. Algunas páginas usan cookies o almacenamiento local normales para mantener un ID entre sesiones; otras combinan distintas capas (cookies, almacenamiento, fingerprint parcial) que no se comportan exactamente igual que los scripts más agresivos usados en la industria publicitaria.

Además, desarrolladores asociados a Mullvad han señalado que ciertos tests públicos como Cover Your Tracks no cubren todos los vectores modernos de fingerprinting y pueden dar una falsa sensación de seguridad o, al contrario, parecer alarmistas en situaciones donde el riesgo real es menor. Lo importante no es obsesionarse con lograr la puntuación perfecta en una web de pruebas, sino entender bien qué está midiendo, qué no está midiendo y qué modelo de amenaza tienes tú en concreto.

En resumen, si un test online te dice que eres “único” pero estás usando algo como Mullvad Browser con configuración por defecto y sin extensiones, lo más probable es que se esté fijando en aspectos que no son fácilmente explotables a gran escala o que dependa de cookies no borradas entre recargas. Conviene interpretar estos resultados con cautela y no como una sentencia definitiva sobre tu invisibilidad.

Qué puede hacer una persona o una startup para reforzar su privacidad

A la vista de todo lo anterior, confiar ciegamente en que una VPN “privacy‑first” te hará completamente anónimo es una apuesta arriesgada. La protección real viene de combinar distintas capas de seguridad y buenas prácticas, no de un único producto milagroso.

Para usuarios individuales, un primer paso razonable es auditar el propio entorno: comprobar fugas de DNS y WebRTC con herramientas tipo ipleak, revisar qué extensiones están instaladas y eliminar las que no sean estrictamente necesarias, usar navegadores endurecidos (Mullvad Browser, Tor Browser, o un Firefox/Brave bien configurado) para las tareas más sensibles y reservar otros navegadores separados para uso cotidiano con cuentas personales.

En el caso de startups o equipos distribuidos, tiene sentido ir más allá y adoptar un enfoque de defensa en profundidad. Esto implica implementar MFA fuerte (idealmente con llaves FIDO2/WebAuthn), segmentar la red y los servicios internos para que nadie tenga más acceso del imprescindible, controlar los endpoints mediante soluciones de EDR/MDM y monitorizar accesos con alertas por geolocalización sospechosa u horarios anómalos.

También es clave separar identidades: perfiles de navegador distintos para trabajo corporativo y usos personales, e incluso dispositivos físicos diferenciados para operaciones especialmente sensibles. Todo esto reduce el impacto de que una huella o una IP de salida puedan correlacionarse, porque limita qué es lo que realmente se puede aprender sobre la organización a partir de ese dato.

Por último, para organizaciones que gestionan datos muy críticos o que operan en entornos de alto riesgo, puede compensar contratar auditorías de seguridad externas. Un análisis serio de tu stack de privacidad, tus flujos de acceso y tus políticas de registro suele costar menos —en dinero y en disgustos— que afrontar una filtración derivada de una correlación que nadie había previsto.

Al final, tanto el caso del fingerprinting en Mullvad VPN como la evolución general de las técnicas de rastreo online nos recuerdan que la privacidad no es un interruptor que se enciende instalando una app, sino un proceso continuo: entender cómo te pueden seguir la pista, asumir que ninguna herramienta es infalible y construir tu propia “cebolla” de capas defensivas para que, incluso si una se rompe, las demás sigan protegiéndote lo suficiente como para que rastrearte sea, como mínimo, un dolor de cabeza para cualquiera que lo intente.

riesgos de tener una vpn gratis instalada
Related article:
Riesgos reales de tener una VPN gratis instalada