xmr.club
EN 中文 ES RU
← todas las guías
guía · explicación larga

Cómo evaluar tú mismo un servicio de privacidad

La mayoría elige servicios de privacidad por boca-oreja o marketing. La reputación se compra y el marketing siempre tira hacia su lado. Nosotros calificamos cada entrada del directorio con el rubric público (/methodology), pero salen servicios nuevos cada semana, así que tú también necesitas saber evaluarlos. Este artículo es la misma checklist que usamos, condensada para que la corras en 30 minutos.

La pregunta previa

Antes de cualquier prueba: ¿este servicio realmente tiene que existir para mí? La mitad de las compras de privacidad resuelven un problema que la persona ni siquiera tiene. Alinea el servicio a tu modelo de amenazas antes de nada. Si una VPN no-KYC no te aporta nada porque tu ISP no es una amenaza, para aquí.

Paso 1 — Transparencia operativa (5 min)

  • ¿Quién lo opera? Encuentra al menos una persona con nombre, un registro mercantil o una cuenta pseudónima con varios años de historial. Anónimo-pero-activo se acepta; anónimo-y-recién-creado es bandera roja.
  • ¿Cuánto tiene el dominio? WHOIS + Wayback Machine. Dominios con menos de 6 meses que ya venden planes de pago merecen escrutinio extra.
  • ¿El código es público? El open-source no es obligatorio, pero su ausencia tiene que estar compensada por algún otro ancla de confianza.
  • ¿Incidentes previos? Busca "{servicio} hacked", "{servicio} exit-scam", "{servicio} freezes funds". Léete los hilos enteros.

Paso 2 — Política de privacidad (5 min)

  • ¿Qué se recoge? Busca "IP addresses", "device fingerprints", "browser identifiers". Una promesa no-logs que se contradice con la política = mentira.
  • ¿Cuánto se guarda? "Retención indefinida" o "lo que exija la ley" suele ser más amplio de lo que parece — normalmente significa todo, para siempre.
  • ¿Quién accede? Subcontratistas, procesadores de pago, "solicitudes de las fuerzas del orden".
  • Jurisdicción. ¿Dónde está la empresa? Operadores Cinco-Ojos / Catorce-Ojos enfrentan presiones de compartición de datos que las jurisdicciones no-alineadas no tienen.

Paso 3 — Prueba de alta (10 min)

Sesión limpia de Tor + correo desechable. Captura pantallazos en cada paso.

  1. ¿El alta pide correo? ¿Teléfono? ¿Documento? Cualquier cosa más allá de "usuario + contraseña" baja el techo de privacidad.
  2. Prueba un correo desechable. ¿Lo acepta? Algunos servicios rechazan silenciosamente dominios desechables por fingerprint.
  3. Apunta el proveedor del captcha (Cloudflare / Google / hCaptcha) — todos ven tu IP en el alta.
  4. ¿La página de registro ejecuta JS de terceros? Abre Dev Tools → Network → busca analytics, Stripe-fingerprint, FB Pixel.

Paso 4 — Prueba de depósito (5 min)

  • Manda una cantidad pequeña (<20 USD). XMR si se acepta; BTC si no.
  • Verifica: ¿la UI del wallet pide KYC adicional tras el depósito? (Antipatrón habitual en exchanges.)
  • Confirma que los fondos llegan a la dirección publicada — no a una dirección proxy redirigida.
  • Anota el settlement real: ¿es nativo, wrapped o IOU? "Te enviamos XMR" a veces significa "te acreditamos saldo redimible por XMR".

Paso 5 — Prueba de retiro (10 min)

El paso más crítico. La postura de privacidad es lo que sobreviva a esto:

  1. Retira a una dirección fresca (que el servicio nunca haya visto).
  2. ¿El retiro pide KYC adicional? "Verifica tu identidad para retirar" = KYC retroactivo = degradación.
  3. ¿Te retienen el retiro? Más de ~24 h para una cantidad pequeña es bandera amarilla; más de 72 h sin explicación es roja.
  4. ¿El correo de confirmación filtra información (historial, saldo, IP origen)?
  5. Haz un segundo retiro días después. A veces los disparadores KYC ocultos aparecen al cruzar umbrales de volumen.

Paso 6 — Auditoría + licencias (5 min)

  • ¿Auditoría de un tercero? Léete el informe, no solo el marketing. Las auditorías caducan — cualquiera con más de 18 meses está rancia.
  • Postura de cumplimiento. ¿Publica informe de transparencia? Número de citaciones recibidas. ¿Warrant canaries vivos?
  • Licencia de código. Señal de confianza: AGPL > GPL > MIT > cerrado.
  • Para exchanges/custodia: cadencia de proof-of-reserves. Auto-reportada es más débil que atestada por terceros.

Paso 7 — Reputación cruzada (5 min)

  • Busca en Reddit r/privacy, r/Monero, r/PrivacyToolsIO los últimos 12 meses.
  • Busca en Trustpilot / BBB / Sitejabber quejas por pérdida de fondos, con escepticismo ante patrones de review-farming.
  • Consulta otros directorios: KYCnot.me, PrivacyGuides, Monerica. Si varios contradicen al servicio, pondera el consenso.
  • Compruébanos a nosotros: busca en el audit log y el archive de xmr.club el nombre del operador.

Califícate

Lleva tus hallazgos al rubric de xmr.club:

  • ¿Los siete pasos limpios? Probablemente tier A. Re-testea en 12 meses.
  • ¿Una concesión (correo al alta, operador pequeño o dominio reciente)? Tier B. Aceptable para modelos de amenaza adecuados.
  • ¿KYC creep al retiro, hueco de auditoría o quejas de fondos sin resolver? Tier C. Úsalo con cautela, nunca para alto valor.
  • ¿Reportes activos de pérdida de fondos o jurisdicción hostil? No uses. Avísanos — lo listaremos como aviso.

Cuando hayas hecho el trabajo, comparte

Si has evaluado algo que aún no listamos, mándalo por /submit. Volvemos a correr la checklist antes de publicar, pero los envíos pre-testeados entran más rápido + el editor te acredita.

Picks

  • Tor Browser — Paso 3 — sesión limpia, fingerprint padded. Imprescindible.
  • Tuta Mail — Paso 3 — fuente de correo desechable. La aceptan la mayoría de altas no-KYC.
  • Feather — Pasos 4 + 5 — pruebas de depósito y retiro. XMR nativo + Tor.
  • agregador kyc.rip — Paso 4 — depósito de prueba de poco importe. Multi-engine, sin markup.