Qué ve tu operador al conectarte a Internet y cómo protegerte

Informatec Digital » Recursos » Qué ve tu operador al conectarte a Internet y cómo protegerte

La mayoría de la gente se conecta al WiFi de casa, del trabajo, de la uni o de un bar sin pararse a pensar qué se está viendo “por detrás”. Tu operador, el dueño del router e incluso algunos servicios online pueden saber mucho más de ti de lo que imaginas solo a partir de tu tráfico de Internet.

Entender qué se registra, quién puede verlo y hasta dónde llega esa vigilancia es clave para tomar decisiones: desde usar o no una VPN hasta elegir cierto navegador o evitar determinadas redes WiFi. Vamos a desmenuzar con calma qué ve tu operador al conectarte a Internet, qué ve el dueño del WiFi y qué puedes hacer para reducir esa huella digital sin volverte loco en el intento.

Qué puede ver realmente tu operador cuando navegas

Cada vez que te conectas, lo haces a través de una conexión que te da tu compañía (ISP). Ese operador asigna una dirección IP pública a tu router y, a partir de ahí, todo tu tráfico pasa por sus equipos. Esto les permite tener un registro bastante fino de lo que haces online.

Lo primero que registra tu ISP es tu dirección IP pública y las fechas y horas en las que la usas. Saben cuándo te conectas, cuánto tiempo estás online y con qué volumen de datos te mueves. Esto, por sí solo, ya permite perfilar bastante tus rutinas: horarios, picos de uso, si haces mucho streaming, juegos online, etc.

Además, casi siempre utilizas los servidores DNS del propio operador, porque la mayoría de usuarios no toca esa configuración. Cada vez que escribes una web (por ejemplo, “redsocial.com”), tu dispositivo pregunta al DNS qué IP corresponde a ese dominio. Estas consultas suelen ir sin cifrar salvo que uses DNS over HTTPS (DoH) o DNS over TLS, por lo que el ISP puede ver y guardar un histórico completo de los dominios que visitas.

A través de esas consultas DNS y otros registros, el operador puede saber si usas redes sociales concretas, descargas por Torrent o Emule, utilizas P2P, accedes a webs de streaming, foros, portales de citas o contenido adulto. No necesitan espiar el contenido; con saber a qué dominios te conectas les basta para hacerse una radiografía de tus intereses.

La mayor parte de la navegación actual va por HTTPS, lo que cifra el contenido de lo que envías y recibes. Eso significa que, si entras en una web con candado en el navegador, tu ISP no puede ver qué mensaje escribes, qué vídeo exacto ves o qué formulario rellenas. Pero sí ve el dominio (por DNS o por la propia conexión TLS) y el volumen de datos, con lo que puede deducir bastante de tu comportamiento dentro de esa web.

Con todo esto, y a lo largo del tiempo, se puede construir un perfil muy detallado de tus gustos, tus rutinas, tus preocupaciones y hasta tu estado de salud o situación laboral: búsquedas sobre enfermedades graves, portales de empleo, foros de ciertas temáticas o patrones de consumo muy concretos.

Obligaciones legales y uso de esos datos por parte de los ISP

No todo el registro de actividad se hace porque el operador quiera ganar dinero con tus datos. En muchos países las leyes obligan a los ISP a conservar cierta información de tráfico durante un tiempo determinado, que suele ir de varios meses a más de un año, e incluso más en algunos casos.

Estos registros incluyen, como mínimo, qué IP tenías asignada en cada momento, cuándo te conectaste, cuánto tiempo, y metadatos relacionados con las conexiones. Esta información puede ser requerida por un juez, fuerzas de seguridad u otros organismos públicos en el marco de una investigación de delitos, desde cibercrimen hasta terrorismo.

Casos como el de Edward Snowden sacaron a la luz programas de vigilancia masiva donde agencias como la NSA recogían enormes cantidades de datos de tráfico con la colaboración de grandes proveedores. Legalmente, tu tráfico solo debería mirarse “a fondo” bajo orden judicial, pero la realidad técnica es que la infraestructura para registrar y analizar grandes volúmenes de datos existe.

Por otro lado, las empresas privadas no siempre están obligadas a detallar cuánto tiempo conservan cada tipo de dato. La política de privacidad del operador puede indicar algo, pero una vez que tus datos se venden, anonimizan o comparten con terceros, es muy difícil seguir la pista de qué pasa con ellos realmente.

A esto se suma que, en términos de almacenamiento, los registros de conexiones y peticiones DNS ocupan muy poco espacio, ya que son básicamente texto. Es perfectamente viable guardar años de historial sin que les suponga un gran coste técnico, aunque legalmente habría límites.

Qué puede ver el dueño del WiFi (universidad, empresa, casa ajena…)

Además del operador, la persona o entidad que gestiona el router WiFi al que te conectas puede ver mucha información sobre tu actividad. Esto aplica tanto a la red de la universidad o la oficina como al WiFi de casa de un amigo o de un local público.

La mayoría de routers guardan un registro de dispositivos conectados, horas de conexión, consumo de ancho de banda y, dependiendo del modelo y la configuración, incluso URLs visitadas o IP de destino. El administrador, entrando al panel del router, puede consultar esos registros y ver por dónde te has movido.

Si además la red corporativa o universitaria usa herramientas más avanzadas de monitorización (proxies, sistemas tipo OpenDNS, WireShark, firewalls de inspección profunda), parte de la seguridad informática, pueden tener todavía más detalle: términos de búsqueda, webs exactas, páginas concretas, tiempo que pasas en cada una e incluso bloquear o filtrar contenido.

El famoso “modo incógnito” no te salva de esto. La navegación privada solo evita que tu propio navegador guarde el historial y las cookies en tu dispositivo. Pero el router y el administrador de la red seguirán viendo las peticiones que salen hacia Internet y, por tanto, seguirán pudiendo rastrear tu historial.

En entornos corporativos o educativos es muy habitual que el administrador de red supervise y registre qué webs se visitan por motivos de seguridad, cumplimiento normativo o productividad. También pueden usar filtros para bloquear páginas de descargas, redes sociales, contenido adulto o peligros potenciales como malware y phishing.

HTTPS, DNS y cifrado de extremo a extremo: qué se ve y qué no

Una duda recurrente es qué protege realmente el candado de HTTPS o el cifrado de extremo a extremo de WhatsApp, Signal y similares. El cifrado de extremo a extremo (E2EE) se aplica al contenido del mensaje, no a todos los metadatos de la conexión.

Cuando usas un servicio con cifrado E2EE, tus mensajes se cifran en tu dispositivo y solo se descifran en el del destinatario. Esto implica que, incluso si el ISP o el dueño del WiFi interceptan el tráfico, solo verán un flujo de datos cifrados que no pueden leer sin la clave. No verán el texto del mensaje, ni las fotos, ni los audios.

Sin embargo, seguirán pudiendo ver que te conectas a ese servicio. Tu dispositivo tiene que resolver el dominio (por ejemplo, “api.whatsapp.com”) mediante DNS y luego establecer una conexión cifrada con ese servidor. Por tanto, el operador o el wifi pueden saber que usas WhatsApp y cuántos datos mueves, aunque no el contenido.

Los DNS, si no están cifrados, son un punto débil. Cuando visitas una web, tu equipo lanza una petición DNS para saber la IP del dominio. Si usas los DNS del operador, este puede registrar todo ese listado de peticiones, aunque el resto del tráfico vaya por HTTPS. Y si estás en una red WiFi ajena, el administrador también puede ver esas peticiones.

Aquí entran en juego protocolos como DNS over HTTPS (DoH) o DNS over TLS (DoT), que cifran las consultas DNS. Si los usas con un proveedor distinto al de tu operador, ese punto de filtrado se reduce bastante: tu ISP ya no ve fácilmente qué dominios estás resolviendo, sólo que hablas con el servidor de DNS cifrado.

En resumen, HTTPS protege el contenido dentro de la web, el E2EE protege el contenido de tus mensajes, y los DNS cifrados protegen qué dominios estás consultando. Pero ni uno ni otro te convierten en invisible: siguen existiendo metadatos como tiempo de conexión, tamaño de los paquetes o IP de destino que permiten inferir bastante información.

Qué información adicional se obtiene a través del navegador

Más allá del operador y del dueño del WiFi, tu propio navegador y las webs que visitas son otra fuente brutal de datos sobre ti. A veces les damos permiso casi sin darnos cuenta al aceptar políticas de privacidad y cookies.

El navegador recopila información sobre tu sistema operativo, tu dirección IP, idioma, extensiones instaladas, tamaño de pantalla, tipo de dispositivo, CPU, GPU e incluso detalles como el estado de la batería. Combinando estos datos se crea una especie de “huella digital” única (browser fingerprint) que sirve para identificarte aunque borres cookies.

Si además sincronizas el navegador con una cuenta (por ejemplo, tu cuenta de Google en Chrome), tu historial de navegación, marcadores y pestañas pueden quedar vinculados directamente a tu identidad. Eso permite a empresas como Google o Meta personalizar aún más la publicidad, pero también supone tener un registro muy detallado de todo lo que haces en la red.

Las webs, por su lado, tiran de cookies, píxeles de seguimiento y scripts de analítica para rastrear tus visitas, tiempo de permanencia, clics, formularios y conversiones. Redes sociales como Facebook pueden rastrearte incluso fuera de su página gracias a botones “Me gusta”, sistemas de login social y otros elementos incrustados en miles de sitios.

Es relativamente fácil que, a partir de tu historial de navegación, se deduzcan cosas como tu orientación política, religiosa, sexual, problemas de salud, situación económica o incluso crisis personales. No es ciencia ficción: se usa a diario en segmentación publicitaria y análisis de perfiles.

Cuánto tiempo pueden conservar tu historial y otros datos

Una de las grandes incógnitas para los usuarios es: “¿hasta cuándo se guarda todo esto?”. La realidad es que no existe una respuesta única, porque depende de la legislación de cada país y de la política de cada empresa.

Los operadores de Internet suelen estar obligados por ley a guardar determinados registros de tráfico durante un periodo mínimo. Ese tiempo puede ser de seis meses, un año o más, y a menudo se renueva si existe alguna investigación abierta o requerimientos específicos.

Más allá de lo estrictamente legal, las empresas pueden conservar datos anonimizados o agregados durante mucho más tiempo para análisis estadísticos, estudios de mercado o desarrollo de productos. Una vez que se entregan a terceros, es todavía más complicado saber qué vida útil tienen esos datos.

Desde el punto de vista técnico, como los registros suelen ser texto plano, es muy sencillo y barato almacenar volúmenes enormes de información durante años. No hablamos de pesados vídeos, sino de cadenas con fechas, IP, dominios y poco más. Por eso no sería raro que buena parte de lo que haces hoy en Internet pueda ser consultable dentro de bastantes años, al menos a nivel de metadatos.

Y no se trata solo de tu ordenador. Cualquier dispositivo conectado a tu red (móvil, tablet, consola, smart TV, altavoz inteligente, cámaras IP…) genera tráfico que se asocia a tu línea. Para el operador, y muchas veces para el dueño del WiFi, todo eso queda registrado bajo la misma identidad: tú como titular de la conexión.

¿Puede el ISP dejar de rastrearte si se lo pides?

La tentación lógica es pensar: “pues les llamo y les digo que no quiero que me registren nada”. En la práctica, esto rara vez funciona, porque buena parte de los registros responden a obligaciones legales o necesidades técnicas de operación y seguridad.

Algunos proveedores en ciertos países ofrecen planes “premium” de privacidad donde prometen no usar tus datos con fines comerciales o reducir el nivel de personalización de anuncios, pero eso no significa que dejen de registrar por completo tu actividad. Simplemente cambian qué uso le dan y cómo lo comunican en sus políticas.

La información mínima sobre quién se conecta, desde dónde, cuándo y con qué IP siempre va a existir, aunque sea solo para resolver incidencias, prevenir fraudes, detectar abusos de red o cumplir con la ley. Por mucho que lo pidas, el operador no va a apagar todos sus sistemas de registro solo para ti.

Si quieres reducir de verdad lo que tu ISP puede ver, la solución pasa por poner una capa de cifrado adicional entre tu dispositivo e Internet. Y aquí entran en juego las VPN, Tor y, en menor medida, los DNS cifrados y algunas configuraciones específicas de privacidad.

Qué pasa cuando usas una VPN: lo que ve tu operador y lo que deja de ver

Una red privada virtual (VPN) crea un “túnel” cifrado entre tu dispositivo y un servidor remoto. Desde el punto de vista del ISP, en lugar de ver que te conectas a mil webs distintas, solo ve que hablas con un servidor VPN concreto.

Cuando te conectas, tu proveedor de Internet puede ver que te conectas a una IP que pertenece a un servicio de VPN, la hora de inicio y fin de la conexión, el puerto que usa el protocolo VPN y la cantidad de datos que mandas y recibes. También verá que el contenido de ese tráfico es ilegible, porque va cifrado.

Lo que ya no ve es qué webs visitas detrás de la VPN, qué páginas concretas abres, qué buscas, qué archivos descargas o qué formularios rellenas. Tampoco puede asociar fácilmente ese tráfico a tu ubicación real si la VPN te da una IP de otro país. De cara al ISP, todo ese detalle desaparece tras el túnel cifrado.

En otras palabras, con una VPN el operador solo puede detectar: la IP del servidor VPN, las marcas de tiempo, el volumen de datos y un flujo de información cifrada. El destino final (las webs y servicios reales) pasa a ser visible solo para el proveedor de la VPN.

Por eso es tan importante elegir una VPN confiable, con política real de no registros (no-logs) y buena reputación. De lo contrario, simplemente estarías cambiando a quién le entregas la información detallada de tu navegación: del ISP al proveedor de la VPN.

Las buenas VPN comerciales acostumbran a ofrecer aplicaciones para ordenador, móvil y a veces incluso configuración directa en el router, de forma que todo el tráfico de tu red local salga ya cifrado hacia la VPN, sin necesidad de instalar nada dispositivo por dispositivo.

VPN, HTTPS, Tor y otros trucos para reducir tu huella digital

Si te preocupa tu privacidad, puedes ir combinando varias capas para complicar las cosas a cualquiera que intente seguirte el rastro. No existe el anonimato total perfecto para todo el mundo, pero sí se puede mejorar muchísimo la situación de serie.

La primera medida, muy básica, es intentar usar siempre webs con HTTPS. Eso evita que el dueño del WiFi o el operador vean el contenido que intercambias con la página (contraseñas, datos bancarios, mensajes, formularios), aunque sigan viendo el dominio. Extensiones como HTTPS Everywhere (o las integradas ya en muchos navegadores) fuerzan esa conexión segura siempre que sea posible.

La segunda capa es elegir motores de búsqueda orientados a la privacidad, como DuckDuckGo o Startpage, que prometen no registrar tu historial de búsquedas ni crear perfiles de seguimiento. Así, al menos esa parte de tu actividad no acaba en manos de los gigantes de la publicidad online.

En el correo, alternativas como ProtonMail o Tutanota ofrecen cifrado de extremo a extremo y políticas de privacidad mucho más estrictas que los servicios gratuitos clásicos. No eliminan todos los metadatos, pero sí dificultan bastante que terceros accedan al contenido de tus mensajes.

Otra herramienta potente es el navegador Tor, que enruta tu tráfico a través de varias capas de nodos para que resulte muy complicado rastrear quién eres y desde dónde te conectas. Eso sí, Tor está más pensado para navegación web concreta y puede ir más lento; además, algunos ISP o servicios lo bloquean o lo miran con lupa.

Complementa todo lo anterior con extensiones del navegador orientadas a bloquear rastreadores y publicidad intrusiva, como uBlock Origin o Privacy Badger. Reducen mucho la cantidad de scripts y cookies que te siguen entre webs, lo que limita el perfilado publicitario y la creación de huellas digitales persistentes.

Riesgos adicionales: redes móviles, WiFi públicas y casos llamativos

Puede parecer que, si en vez de WiFi usas la red móvil, ya estás a salvo. La realidad es que el operador móvil cumple exactamente el mismo papel que el de fibra o ADSL: te da IP, gestiona tu tráfico y puede ver y registrar tus conexiones igual que cualquier otro ISP.

Además, si compartes tu red (por ejemplo, con un punto de acceso WiFi desde el móvil), todo lo que haga cualquier persona conectada a tu WiFi quedará asociado a tu línea. Si alguien se mete en líos usando tu conexión, por ejemplo para atacar webs, es muy posible que la primera puerta a la que llamen sea la tuya.

Las redes WiFi públicas, como las de aeropuertos, cafeterías o centros comerciales, son otro escenario delicado. El proveedor de ese WiFi puede monitorizar el tráfico, registrar tus conexiones y, en algunos casos, hasta vender esos datos a anunciantes como forma de monetizar el servicio gratuito.

Ha habido casos mediáticos donde mensajes enviados desde una red pública han acabado en detenciones o investigaciones serias. Un ejemplo ilustrativo es el del joven al que detuvieron en un aeropuerto por mandar una “broma” en un chat privado hablando de “explotar el avión” usando el WiFi del propio aeropuerto, lo que disparó todas las alarmas.

Esta clase de situaciones deja claro que lo que haces en una red, por muy privada que creas que es, puede ser analizado si se considera una amenaza o un indicio de delito. Y que los registros de navegación y mensajes se utilizan habitualmente como prueba en investigaciones policiales y juicios.

Todo este panorama nos deja una idea bastante clara: cada vez que te conectas a Internet dejas un rastro técnico que tu operador, el dueño del WiFi, tu navegador, las webs que visitas y, llegado el caso, las autoridades pueden seguir, al menos a cierto nivel de detalle. Usar VPN, cifrado, navegadores y buscadores respetuosos con la privacidad no te hace invisible, pero sí reduce muchísimo la cantidad de información útil que terceros pueden acumular sobre ti y te permite recuperar algo de control sobre lo que compartes (queriendo o sin querer) cada vez que abres una pestaña del navegador.