OPSEC52 / Semana 1 — Disciplina de salida VPN

Si tu login del exchange y tu sesión de Tor comparten el mismo punto de salida, el puente lo construiste tú. Rota servidores, separa contextos, asume que todo termina conectándose.

Modelo de amenaza: un correlacionador (analista on-chain, adversario a nivel de ISP, compliance de exchange) intentando enlazar cuentas que de otro modo serían independientes mediante una IP de salida compartida. Dificultad: principiante · Coste: $0 (con la VPN que ya tienes) · Publicado: 2026-06-02

La práctica

Una VPN hace dos cosas, y la mayoría de usuarios solo piensa en la primera. Oculta tu IP real al destino y le da al destino una IP de salida consistente para cada conexión que hagas por ese túnel. Si no rotas, esa segunda propiedad filtra más de lo que la primera protege.

Ejemplo concreto: el martes entras a tu exchange KYC (Bybit, Kraken, el que sea) desde la salida VPN 199.21.x.y. El miércoles abres Tor Browser, también saliendo por esa misma exit (porque haces Tor over VPN para el «salto extra»). Te conectas a un foro de privacidad, mandas una dirección Monero a un comprador, haces lo que sea que hagas en tu contexto privado. El compliance del exchange + el operador del foro + los logs de tu proveedor VPN (si los hay) comparten ahora una línea temporal parcial: misma IP de salida, dos contextos de identidad distintos, separados por horas. La correlación es trivial — aunque el proveedor VPN nunca te haya visto. El adversario no necesita verte; necesita ver el patrón.

Una salida VPN es una huella. Reutilizarla entre contextos de identidad no es distinto de reutilizar un nombre de usuario.

La solución es operativa, no técnica. La mayoría de clientes VPN modernos te dejan seleccionar un servidor de salida (o país) por perfil. No necesitas un proveedor VPN distinto por contexto — necesitas un exit distinto por contexto.

Cómo aplicarlo hoy

1. Mapea tus contextos de identidad. Mínimo tres: stack KYC (exchanges, bancos, cualquier cosa atada a tu nombre real), stack pseudonimo (foros, cuenta de X, GitHub si es pseudónimo), stack sin identidad (Tor, servicios de privacidad, swaps de Monero). Algunos añaden un cuarto para stack de investigación (solo lectura, sin logins).

2. Asigna una salida (o país) a cada contexto. Mullvad, IVPN y Proton dejan marcar una ciudad o servidor concreto. Elige tres o cuatro ciudades que vayas a usar de forma consistente. No compartas ciudades entre contextos.

3. Construye el hábito de cambiar cuando el contexto cambia. El patrón más fácil: perfiles de navegador dedicados a cada contexto, cada uno con su perfil VPN preseleccionado. Firefox containers, perfiles de Brave, o incluso navegadores distintos (Tor Browser para sin identidad, Brave para pseudónimo, Chrome normal para KYC — la frontera de confianza hace además de pista visual).

4. Rota dentro de cada contexto periódicamente. Incluso dentro de tu stack pseudónimo, cambia de ciudad cada pocas semanas. Evita huellas estáticas de largo plazo.

5. Para Tor over VPN, usa una salida VPN que no uses en ningún otro sitio. La rotación de IP de salida de Tor ya cubre el lado destino; lo que importa es el lado entrada (la IP que tu VPN le da a Tor). Esa entrada no debe aparecer nunca en ninguna conexión no-Tor.

Errores comunes

• Poner «auto» o «servidor más rápido» globalmente. El routing VPN orientado a comodidad elige el mismo exit una y otra vez. La comodidad mata la disciplina de salida.
• Compartir exit entre stacks KYC y pseudónimo. El desliz más común. Una vez que un login cruza los streams, todo lo demás queda correlacionado para siempre.
• Creer que «no-logs» significa «correlación de IP imposible». No-logs habla de los registros del proveedor VPN. El destino sigue viendo tu IP de salida. La correlación está aguas abajo, no en el proveedor.
• Olvidar el móvil. Tu teléfono se conecta a docenas de servicios. Si auto-VPN sale por la misma exit que tu portátil usa para Tor, ya los has enlazado. El móvil necesita su propio mapa de contextos.
• Usar una «IP dedicada» para cualquier identidad pseudónima. Las IPs dedicadas son únicas a ti. Para OPSEC son la peor opción posible.

Ver también

Listings en xmr.club (donde viven estos picks):

• /vpns/mullvad — port forwarding, pago anónimo, sin email, selección por servidor
• /vpns/ivpn — clientes open source, multi-hop, pago anónimo
• /vpns/proton-vpn — Secure Core, P2P-friendly, registro menos anónimo

Fuentes citadas:

• @kyc_rip OPSEC tip (2026-05-29) — «Stop using the same VPN exit for everything. If your exchange login and your Tor session share an endpoint, you’ve built the bridge yourself…» — el post semilla de esta semana
• @DoingFedTime OPSEC365 (la serie diaria de Sam Bent — vale la pena suscribirse)
• PrivacyGuides — sección de VPN

Semanas #OPSEC52 adyacentes (próximamente):

• Semana 2 — Disciplina de guardia de entrada Tor (el espejo entrada-lado de la práctica salida-lado de esta semana)
• Semana 3 — Contenedores de navegador y separación de contexto de identidad (la capa encima del routing de red)

#OPSEC52 es la serie semanal de OPSEC de xmr.club. Curada por Cyber Satoshi. Índice de la serie: /opsec. Construida como complemento (no reemplazo) de la serie diaria #OPSEC365 de Sam Bent — vale la pena seguir las dos.