✨︎ Resumen (TL;DR):
- Surfshark dejó de recopilar datos vinculados a usuarios específicos en su software antivirus.
- La decisión ocurrió 48 horas después de revelar la retención de identificadores de dispositivos y ubicación.
- Las estadísticas de malware de la compañía ahora serán 100% anónimas, mejorando la privacidad técnica.
El 27 de marzo, Surfshark dejó de recopilar datos identificables relacionados con malware de los usuarios de su software antivirus. Este cambio radical de política ocurrió apenas 48 horas después de que una investigación del medio TechRadar expusiera el nivel de detalle que la empresa retenía sobre las infecciones locales.
El origen de la medida fue una prueba de “Derecho de Acceso” bajo el Reglamento General de Protección de Datos de la Unión Europea. TechRadar envió solicitudes a 10 proveedores de VPN. Surfshark fue el único en cumplir totalmente, entregando un reporte detallado en PDF apenas cuatro horas después de la petición original el 5 de enero de 2026.
El informe mostró que la sección de “Registros de Malware del Antivirus” incluía nombres específicos de software malicioso detectado, identificadores de dispositivos y datos de ubicación a nivel de país. Toda esta información estaba directamente vinculada a cuentas individuales.
Inicialmente, Surfshark defendió la práctica argumentando que beneficiaba a las familias. Un vocero de la compañía declaró: “Centralizar estos datos les permitirá monitorear las amenazas en todos sus dispositivos desde un solo dashboard”. Sin embargo, revirtieron la decisión en cuestión de días para priorizar el anonimato total.
Retención de pagos y auditorías de seguridad
La investigación también sacó a la luz otras prácticas de datos de Surfshark:
- Un periodo de retención de 7 años para información de pagos, justificado por cumplimiento legal.
- El uso de perfiles automatizados para evaluar el comportamiento del usuario por motivos de gestión de suscripciones.
Aunque la estricta política de no registros de su VPN fue verificada de forma independiente por Deloitte en 2023 y 2025, la recopilación de datos del antivirus operaba fuera de esas auditorías. La empresa, ahora con sede en los Países Bajos, también superó recientemente una auditoría de infraestructura a cargo de la firma SecuRing.
TechRadar señaló que este resultado demuestra que “las prácticas de privacidad deberían ser estrategias en evolución” y concluyó que al eliminar los registros identificables, la compañía de ciberseguridad ha “elevado el listón para la industria”.
