BitVPS

Hosting VPS anónimo — qué significa realmente "anónimo"

"Anónimo" no es lo mismo que "privado", y ninguno de los dos es lo mismo que "sin KYC". El anonimato es operativo: no se te puede identificar como operador a partir de los datos disponibles. La privacidad es contractual: el proveedor se compromete a no compartir lo que sabe. Sin KYC es un subconjunto concreto del anonimato, en la capa de registro. Las tres cosas importan; la mayoría del marketing de hosting las confunde. Esta página las separa y recorre las cuatro capas del anonimato de un VPS que realmente determinan tu exposición.

Sin identificación requerida XMR / BTC aceptados Compatible con Tor Cuenta opcional
Anonymous VPS hosting

Las cuatro capas del anonimato VPS

El anonimato no reside en un único lugar; reside en cuatro. Dos son responsabilidad del proveedor, dos son tuyas. BitVPS se encarga de las dos primeras de forma estructural; las dos segundas requieren una disciplina operativa que ningún proveedor puede ejercer por ti.

1Datos de registro — lo que pide el proveedor

La información que se recopila cuando creas la relación: correo, nombre, dirección, teléfono, documento de identidad, datos de facturación. BitVPS pide un único campo —un correo que funcione— y nunca valida nombre, dirección ni teléfono porque no los recopila. El formulario de registro son dos menús desplegables y una casilla de correo. Nada se enriquece contra bases de datos de terceros. Esta es la capa sin KYC; es necesaria, pero no suficiente para el anonimato.

2Rastro de pago — lo que dice el dinero

Todo pago deja un rastro en algún sitio. Una tarjeta crea un registro reclamable en tu banco emisor. Una transferencia bancaria crea un registro SWIFT. Bitcoin crea un grafo de UTXO público. Monero crea un compromiso opaco sin origen visible. BitVPS acepta más de 20 criptomonedas; XMR es la única con privacidad a nivel de protocolo en la capa de pago. BTC, LTC, ETH, USDT, USDC, SOL, TRX, TON, XRP, DOGE, POL, BCH, DASH, ZEC son seudónimas: sólidas si usas carteras nuevas, débiles si retiras directamente desde un exchange con KYC. Nunca aceptamos dinero fiat, así que la vigilancia de las redes de tarjetas está estructuralmente ausente.

3Actividad de red — cómo accedes al VPS

Cada sesión SSH y cada inicio de sesión en el panel deja un rastro en tu extremo. Si haces SSH desde una IP residencial que tu ISP doméstico puede atribuirte, el anonimato de la capa de red desaparece sin importar lo que sepa el VPS. BitVPS no bloquea el tráfico de Tor ni de VPN en el formulario de despliegue, en el panel ni en el propio VPS; la disciplina operativa de enrutar a través de Tor (solo Tor o Tor → VPN → SSH) corre de tu cuenta. Sí registramos las IP de sesión del panel durante 24 horas como protección contra ataques de fuerza bruta: retención breve, alcance deliberadamente limitado.

4Metadatos operativos — registros, tickets de soporte, los pequeños detalles

El texto de los tickets de soporte, el contenido de las denuncias de abuso presentadas contra ti, la carga de trabajo que se ejecuta en el VPS, la IP pública a la que se vinculan tus servicios y cualquier filtración que la propia carga de trabajo produzca (cadenas de banner, huellas de inicio de sesión, certificados SSL, datos EXIF, cookies de analítica). Los tickets y la correspondencia de abuso están sujetos a nuestra retención de 90 días; las filtraciones de la carga de trabajo escapan a nuestro control. Esta es la capa que más usuarios subestiman, y la primera que atacará un adversario decidido.

Qué es anónimo, qué no lo es

Una tabla plana con cada categoría de datos que circula por un VPS de BitVPS, y qué hacemos con ellos. Sin texto de marketing: solo tres columnas: qué vemos, qué registramos, qué compartimos.

Capa Lo que NOSOTROS vemos Lo que REGISTRAMOS Lo que COMPARTIMOS
Correo de registro La dirección que indicas Almacenado en el registro del cliente Solo con orden judicial local válida
Nombre real / ID / teléfono Nada — nunca recopilado Nada — nunca recopilado No podemos compartir lo que nunca tuvimos
Pago ID de tx on-chain, dirección de recepción, importe Línea de factura + ID de tx, 7 años (derecho mercantil) Solo con orden judicial local válida
IP de sesión del panel IP de origen del inicio de sesión 24 horas (anti fuerza bruta) Solo con orden judicial local válida
Acciones del panel Aprovisionamiento / reinicio / reconstrucción / snapshot 90 días (abuso / seguridad) Solo con orden judicial local válida
Conexión SSH a tu VPS Nada — termina dentro de la VM invitada Nada — no está en el host No podemos compartir lo que no vemos
Tráfico de la NIC del cliente Solo contadores de bytes por puerto Sin netflow, sin captura de paquetes No existen datos que compartir
Tickets de soporte Contenido que nos envías 2 años (continuidad del servicio) Solo con orden judicial local válida

Higiene operativa consejos

El proveedor puede limpiar las capas 1 y 2; tú tienes que limpiar la 3 y la 4. A continuación: la disciplina que marca la diferencia entre "anónimo sobre el papel" y "anónimo en la práctica".

Disciplina de red:

  • Accede al formulario de despliegue, al panel y al VPS a través de <strong>Tor</strong>. El formulario de despliegue funciona bajo Tor sin modificaciones; no mostramos CAPTCHA, no bloqueamos las salidas de Tor y no enriquecemos la IP de origen. Para SSH, Tor → SOCKS5 → ssh es la cadena más limpia (usa <code>torsocks ssh</code> o <code>ProxyCommand nc -X 5 -x 127.0.0.1:9050 %h %p</code>).
  • O usa <strong>Tor → VPN → SSH</strong> si necesitas una IP de salida estable para un servicio que no tolera el conjunto de salidas de Tor. Paga la VPN en Monero y usa una VPN distinta por cada VPS.
  • Evita hacer SSH directamente desde una IP atribuible a tu ISP residencial. Hazlo una sola vez y los registros NetFlow de tu ISP (que tú no controlas) vincularán para siempre la IP pública del VPS con tu línea doméstica.

Disciplina de cartera:

  • Usa una <strong>cartera nueva por cada factura</strong> para los pagos en Bitcoin, o paga en Monero (que hace que la "cartera nueva" sea lo predeterminado en lugar de la excepción).
  • Si debes retirar desde un exchange con KYC, pasa por un coinjoin (Wasabi, JoinMarket) o convierte a Monero a través de un swap que no requiera KYC.
  • No consolides los UTXO de varios reembolsos de BitVPS en una sola cartera: mantenerlos sin consolidar es privacidad gratis.

Disciplina de correo:

  • Usa un <strong>correo distinto por cada VPS</strong>. Los alias de SimpleLogin, AnonAddy y Proton funcionan todos; también las bandejas desechables si no necesitas recibir correos posteriores tras el despliegue.
  • No vincules el correo de compra del VPS a nada más: ni a otras cuentas, ni a correos de recuperación, ni a una entrada compartida en un gestor de contraseñas que pudiera correlacionarlo con tu identidad real.

Disciplina de la carga de trabajo:

  • Audita lo que emite tu <em>servicio</em>. Las cadenas de banner (<code>Server: nginx/1.24.0 (Ubuntu)</code>), los certificados HTTPS (con asuntos que llevan tu nombre real), la analítica incrustada, los EXIF en las imágenes subidas, los rastreadores de errores de JS: todos ellos pueden reidentificarte más rápido de lo que puede hacerlo el proveedor del VPS.
  • Elimina los metadatos antes de publicar. Usa <code>exiftool -all=</code> en las imágenes, <code>pdftk</code> para los PDF, y desactiva <em>cualquier</em> JS de terceros que se comunique con el exterior desde un sitio público.

Qué VPS anónimo NO protege contra

La sección honesta. Un VPS anónimo es una herramienta útil con un modelo de amenazas definido. A continuación: las amenazas que no aborda. Si alguna de ellas coincide con tu adversario, refuerza el VPS con las defensas adicionales mencionadas.

En pocas palabras: Un VPS anónimo protege contra "que la empresa de hosting sepa quién eres". No protege contra todos los demás que puedan estar vigilando la red o la carga de trabajo. Ajusta tu modelo de amenazas en consecuencia.

Adversarios pasivos globales. Un adversario pasivo global (GPA) —normalmente una agencia de inteligencia de señales con amplia capacidad de observación de la red— puede correlacionar los tiempos de entrada y salida de Tor, desanonimizar flujos de larga duración mediante análisis de patrones de tráfico y vincular la IP pública de tu VPS, a través del circuito Tor, con tu ISP residencial cuando la densidad de observación es suficiente. Un VPS anónimo no hace nada para derrotar a un GPA. Defenderse de un GPA requiere otro conjunto de herramientas (Tails, mixnets, conectividad intermitente, una disciplina OPSEC que va mucho más allá de la elección del hosting).

Canales laterales a través de la propia carga de trabajo. Si el servicio público que se ejecuta en tu VPS anónimo filtra tu identidad a través de una huella de inicio de sesión, un estilo de escritura único, una etiqueta de analítica incrustada que olvidaste quitar o un solo tuit que menciona la IP, el anonimato se desmorona por muy limpia que fuera la compra del VPS. Este es el modo de fallo más común que vemos en los análisis post mortem; la carga de trabajo es el eslabón más débil.

Metadatos a nivel de ISP si te conectas por SSH directamente. Tu ISP doméstico registra que te conectaste a la IP pública del VPS en esta marca de tiempo, con este volumen y este protocolo. Incluso sin captura de paquetes, los metadatos de nivel NetFlow bastan para vincular "el VPS A hizo ruido" con "el abonado X estaba en línea y conectado a A en el mismo instante". La solución no es hacer SSH desde una conexión doméstica: enruta a través de Tor o de una VPN que hayas comprado por separado.

Imágenes forenses de disco. Un VPS vive en hardware físico, en un rack. Si el disco subyacente se clona mediante una orden judicial o por introspección del hipervisor, todo lo que almacenaste sin cifrar es recuperable. Cifra los datos sensibles en reposo <em>dentro del invitado</em> con claves que conservas tú (LUKS, dm-crypt con solicitud de frase de contraseña en el arranque, cifrado a nivel de archivo como age o gocryptfs). El anonimato de la compra del VPS no protege lo que hay en el disco.

Divulgación forzada del contenido del correo. Tu correo de registro, aunque sea en Proton o Tutanota, reside en un proveedor con su propia jurisdicción y sus propias obligaciones ante órdenes judiciales. Si a ese proveedor se le obliga a entregar el contenido de la bandeja, incluiría tus correos de despliegue de BitVPS (que contienen la IP del VPS). Cifra el correo en reposo con PGP siempre que sea posible; considera autoalojar el correo tras Tor para los perfiles más paranoicos.

VPS anónimo Preguntas frecuentes

Las ocho preguntas que compradores y periodistas nos hacen más a menudo sobre las propiedades de anonimato de un VPS de BitVPS.

What's the difference between an "anonymous VPS" and a "private VPS"?
Anonymity is operational — you cannot be identified as the operator from the available data. Privacy is contractual — the provider commits not to share what they know. They are different properties; you can have one without the other. BitVPS ships both: the no-KYC signup minimises what we collect (anonymity), and our Privacy Policy plus the warrant canary commit us to disclose only on valid local-jurisdiction process (privacy). Most providers conflate the two; we separate them on purpose.
If I sign up with a Proton email and pay in Monero, am I fully anonymous?
Mostly — but read the four-layer table on this page. The signup data layer is anonymised (Proton handle, no other identifiers), and the payment-trail layer is anonymised (Monero is private at protocol level). The two remaining layers — network activity and operational metadata — are operator-controlled. Your SSH source IP, the public IP your service runs from, your login fingerprint and any leaks from the workload itself can re-identify you regardless. Anonymity is layered.
Do you require an account, or is signup truly accountless?
Truly accountless. You can pay an invoice from /deploy/, receive SSH credentials by email and never log into the panel. The account exists if you want one (snapshots, dashboard, re-deploy buttons) but it is optional. A surprising number of long-tenure customers — including ones running 20+ VPS — have never claimed a panel account.
Can I use Tor to access the deploy form and the panel?
Yes, both work over Tor without modification. We do not block Tor exit IPs at the WAF and we do not show CAPTCHAs on legitimate Tor traffic. The panel session cookie is set on the response so the browser can keep you logged in across pages; everything else is HTML over HTTPS. We have a hidden-service mirror on the roadmap; the clearnet path over Tor is fully supported in the meantime.
¿Registráis conexiones SSH, accesos al panel o accesos a la consola del VPS?
We log panel actions (provision, reboot, rebuild, snapshot) for 90 days for abuse and security investigation, and panel session source IPs for 24 hours for brute-force protection. We do not log SSH connections to your VPS — those terminate inside your guest, not our infrastructure. NIC mirroring is off; we do not run netflow on customer traffic. Details and retention table are in the Privacy Policy.
Can my provider be compelled to identify me retroactively?
Only with the data we have. A binding court order from our jurisdiction (Saint Kitts and Nevis) or the local jurisdiction where the datacenter sits could compel us to disclose what we hold. What we hold for an anonymous-signup customer is: the email you signed up with, the on-chain transaction id of your payment, the deploy timestamps, and panel action logs (90 days). We do not have a name, an ID, a phone number or a billing address to disclose. Our warrant canary documents the count.
What about side-channel re-identification through my VPS's service?
This is the threat model most users underestimate. If the public website you host on the VPS leaks your real identity (login fingerprint, browser session, content metadata, EXIF, JS analytics that you forgot to remove, a single tweet that mentions the IP), the anonymity of the VPS purchase becomes irrelevant. The VPS is anonymous; the service running on it is whatever you configure it to be. Audit your workload, not just your provider.
Do you accept email aliases (SimpleLogin, AnonAddy, Proton aliases)?
Yes, all three plus self-hosted aliases and disposable inboxes. We do not validate domain reputation and we do not enrich the email address against any third-party database. The only requirement is that you can read the deploy email — anything that delivers SMTP works.

VPS anónimo, con los límites indicados.

Cinco niveles, cuatro jurisdicciones, sin ID, sin teléfono, cuenta opcional, compatible con Tor. Paga en cualquiera de más de 20 criptomonedas.