El gobierno de la India confirmó el 3 de julio de 2026 que está redactando un nuevo marco legal para regular a los proveedores de VPN, que exigirá abrir una oficina física en el país, designar a un responsable de cumplimiento local y almacenar los datos de los suscriptores - incluidos nombres, direcciones y direcciones IP - durante cinco años. Los empleados de las empresas que no cumplan podrían enfrentar sanciones penales, incluida la prisión.
Qué exigiría la nueva ley de VPN de la India de 2026
Según funcionarios citados por la prensa india, el marco propuesto se inspira en las Information Technology Rules de 2021, que ya obligan a las grandes plataformas de redes sociales a designar a un Chief Compliance Officer y un Nodal Contact Person como línea directa con las fuerzas del orden. Aplicado a las VPN, ese mismo modelo exigiría a los proveedores:
- Registrar una entidad local y mantener una oficina física dentro de la India.
- Designar a un responsable de cumplimiento como punto de contacto del gobierno.
- Conservar los registros de los suscriptores durante cinco años, incluidos nombre completo, dirección, datos de contacto y direcciones IP.
- Entregar los registros cuando se solicite, con responsabilidad penal individual para los empleados - incluida la posible prisión - en caso de incumplimiento.
La directiva de 2022 que los proveedores simplemente ignoraron
No es el primer intento de la India. En 2022, el Equipo de Respuesta ante Emergencias Informáticas de la India (CERT-In) emitió una directiva casi idéntica, con un plazo original fijado para el 27 de junio de 2022, luego ampliado hasta el 25 de septiembre de 2022. La respuesta de los mayores nombres del sector fue contundente: Proton VPN, NordVPN, ExpressVPN y Surfshark retiraron sus servidores físicos de la India en lugar de cumplir, redirigiendo a los usuarios indios a través de servidores virtuales ubicados en Singapur y otros países. Proton VPN calificó la directiva de "ley de vigilancia masiva invasiva" y afirmó que no tenía intención de cumplirla.
Por qué las autoridades creen que hace falta endurecer la aplicación a las VPN
Las autoridades indias señalan el fuerte aumento de las órdenes de bloqueo de sitios web como prueba de que el tráfico anonimizado es cada vez más difícil de controlar: los organismos gubernamentales emitieron más de 24.000 órdenes de bloqueo en 2025, más del doble de las más de 12.000 emitidas en 2024. Los funcionarios sostienen que una proporción creciente del contenido bloqueado sigue siendo accesible precisamente porque los proveedores de VPN no conservan registros que entregar y, en muchos casos, ni siquiera mantienen servidores dentro de la jurisdicción india. Se calcula que cerca de la mitad de los 800 millones de usuarios de internet de la India utiliza una VPN al menos ocasionalmente, algo que las autoridades describen como un factor que anula las órdenes de bloqueo a escala nacional.
El momento elegido también responde a una prueba de fuego real de la demanda de VPN en la India. Cuando el país bloqueó Telegram en junio de 2026 como parte de una ofensiva más amplia contra la mensajería cifrada, un repunte de altas diarias en VPN expuso a millones de nuevos usuarios a aplicaciones VPN gratuitas cargadas de publicidad depredadora - un aumento que ahora los reguladores citan como prueba de que el uso de VPN en la India se ha vuelto lo bastante habitual como para requerir una supervisión formal.
Qué pasaría si los proveedores vuelven a negarse
Si la historia se repite, el desenlace más probable es el mismo que en 2022: en lugar de abrir una oficina local, exponer a un responsable de cumplimiento a un posible proceso penal y registrar cinco años de actividad de los usuarios, los grandes proveedores de VPN sin registros simplemente retirarían de nuevo su infraestructura física de la India y seguirían atendiendo a los usuarios indios desde servidores alojados en el extranjero. Eso mantendría el acceso a VPN técnicamente disponible, pero empujaría al mercado aún más hacia proveedores dispuestos a operar en una zona gris legal - a menudo las mismas aplicaciones gratuitas de baja calidad financiadas con la publicidad agresiva de la que se quejaron los usuarios indios durante el bloqueo de Telegram.
El mercado indio de VPN no es ajeno a incidentes de seguridad que hacen que las herramientas de privacidad resulten más urgentes, no menos. Un ataque de ransomware al fabricante Bajaj Auto en junio de 2026 mostró lo expuesta que puede estar la infraestructura VPN corporativa incluso dentro de grandes empresas indias con muchos recursos - un recordatorio de que el debate sobre la regulación de las VPN se desarrolla sobre el trasfondo de brechas reales, no de riesgos hipotéticos.