La mascota oso polar de NordBastion detrás de un podio judicial de piedra nórdica con un libro mayor abierto que muestra iconos de identidad tachados y balanzas de latón a su lado, el escudo N cian sostenido en alto por tenue magia cian

Explicación·10 min de lectura · Actualizado en 2026

Alojamiento VPS sin KYC, explicado.
Qué es, qué no es y cómo reconocer los auténticos.

«No-KYC» es una de las frases más sobrevendidas en el alojamiento de privacidad. Esta guía explica qué es realmente KYC, qué significa no-KYC en cada capa de la relación con el cliente, y cuatro pruebas concretas que separan a un proveedor de alojamiento privado serio de una marca que utiliza el término como mero adorno.

Capítulo 1

Qué es realmente el KYC, y de dónde viene.

KYC — Conozca a su Cliente — es un conjunto de procedimientos de verificación de identidad originalmente codificados en la regulación antilavado de dinero de servicios financieros. La implementación canónica recopila cuatro cosas: nombre legal, dirección residencial, un documento de identidad emitido por el gobierno (pasaporte o documento nacional de identidad), y evidencia de que el documento pertenece a la persona que lo presenta (el ahora omnipresente «selfie con identificación»). A veces una factura de servicios o extracto bancario añade prueba de domicilio. La obligación de los servicios financieros es real, la documentación está bien definida, y los reguladores que la hacen cumplir (FinCEN en EE. UU., la FCA en el Reino Unido, BaFin en Alemania, FINMA en Suiza, FATF a nivel global) auditan el cumplimiento regularmente.

Lo que está menos bien definido es cómo el KYC migró de los servicios financieros a categorías adyacentes. El alojamiento es una de ellas. No existe ningún estatuto en Sweden, Finland, Norway o Iceland que exija a una empresa de alojamiento verificar la identidad de sus clientes. La práctica se extendió por convención — principalmente porque los proveedores que aceptan tarjetas de crédito heredan la cultura de prevención del fraude del procesador de tarjetas, y porque la contratación corporativa espera ser interrogada. Una pequeña parte del mercado de alojamiento ha salido conscientemente de esa convención. Esa parte es a lo que se refiere el «alojamiento sin KYC».

La distinción importa porque la palabra de marketing «anónimo» puede referirse a varias capas diferentes, y la eliminación del KYC es solo una de ellas. Un proveedor perfectamente sin KYC que no acepta criptomoneda, rechaza Tor y comparte su dirección IP con quien la solicita, sigue filtrando en las otras dos capas. El alojamiento de privacidad real es una pila; la eliminación del KYC es un elemento.

Capítulo 2

Por qué la mayoría de los proveedores exigen KYC. Tres razones reales.

Motivo 1 — seguro ante contracargos. Los proveedores pagados con tarjeta reciben contracargos a tasas no triviales — generalmente 0.5-2% de las transacciones, a veces peor para los proveedores económicos. Verificar al titular de la tarjeta reduce esa exposición: si el cliente puede demostrar que es el propietario legítimo de la tarjeta antes de que se complete el cargo, el riesgo de contracargo disminuye. Un proveedor pagado en criptomoneda no tiene ninguna exposición a contracargos (las transacciones en criptomoneda son irreversibles), por lo que pierde toda esta razón para preguntar. NordBastion es exclusivamente en criptomoneda y, por tanto, no tiene exposición a contracargos que defender.

Motivo 2 — velocidad de gestión de abusos. Cuando se denuncia un servidor por enviar spam, alojar malware o ejecutar infraestructura de phishing, identificar al propietario legal acelera el cierre — el proveedor puede advertir, suspender o terminar el servicio con documentación que un tribunal aceptaría. Un proveedor orientado a la privacidad renuncia a esto siendo explícito en la política de uso aceptable sobre qué causa exactamente una suspensión y suspendiendo por motivos operacionales (el servidor está enviando spam) en lugar de motivos legales (el operador es identificable). Mismo resultado, mecanismo diferente.

Motivo 3 — legitimidad en la contratación corporativa. Los clientes empresariales esperan que se les solicite identidad porque su propio cumplimiento normativo lo requiere. Un proveedor que no lo solicita es, paradójicamente, más difícil de incorporar a través de la contratación corporativa. Un proveedor de privacidad se auto-excluye de este segmento — la base de clientes son individuos, pequeños equipos y desarrolladores con conciencia de privacidad, no contratación de Fortune 500.

Las tres razones son legítimas para sus respectivos modelos de negocio. Simplemente no se aplican a un proveedor pagado en criptomoneda, orientado al cliente individual, que publica su política de uso aceptable explícitamente. Rechazar el KYC en esas condiciones es operativamente coherente, no arbitraje regulatorio.

Capítulo 3

Concesiones. A qué renuncia.

No-KYC no es gratuito. El compromiso más concreto es la recuperación de cuenta. Un proveedor KYC puede reemitir su contraseña verificando su identidad a través de los documentos registrados. Un proveedor no-KYC no puede — no hay nada registrado con qué verificar. Perder la contraseña (y, si está habilitada, la semilla TOTP) significa perder la cuenta.

El modelo mental correcto es tratar la contraseña del panel como trata la frase semilla de un monedero de criptomoneda: escríbala en papel, guárdela sin conexión, acepte que no hay ruta de recuperación. El secreto de 2FA debe respaldarse de la misma manera (el código QR TOTP, o la cadena semilla de 25 caracteres, anotada en el momento de la configuración). Ambos almacenados juntos en un sobre sellado en un cajón es la configuración canónica. Perder ambos = perder la cuenta.

La segunda concesión es que algunos métodos de pago no están disponibles. La transferencia bancaria y la tarjeta de crédito están fuera, porque ambas imponen KYC al cliente en el origen de la financiación. La criptomoneda está dentro. PayPal se encuentra incómodamente en el medio — algunos proveedores sin KYC lo aceptan, otros lo rechazan por el riesgo de contracargo y la exposición de identidad. NordBastion no acepta PayPal por ninguna de esas razones.

La tercera concesión, más sutil, es psicológica. Un cliente que ha sido condicionado a esperar «verifique su identidad» en cada relación comercial puede encontrar el registro sin KYC inquietante al principio — hay un momento de «espere, ¿no necesita mi nombre?» que algunos clientes nuevos reportan. La inquietud desaparece en pocos días de usar el servicio. A partir del segundo mes, los clientes generalmente notan que la ausencia de exposición de identidad es en sí misma una forma de comodidad.

Capítulo 4

Cuatro pruebas para un proveedor no-KYC real. Cada una es independiente.

Leer el flujo de registro

Abra la página de registro en una ventana privada y lea cada campo del formulario. Si algún campo solicita una carga de documento, un número de teléfono, o una afirmación de «verifique su nombre legal», el proveedor aplica KYC, independientemente de lo que diga el marketing. El flujo de registro es la evidencia más directa.

Leer las condiciones de servicio

Un proveedor serio nombra los límites de uso aceptable de forma explícita y concisa. Un proveedor defensivo se escuda tras una lista de 12 páginas de cláusulas comodín vagas redactadas por un abogado estadounidense. La extensión y la concreción son señales positivas; la verbosidad y la vaguedad son señales negativas.

Leer la política de privacidad

Una política de privacidad real enumera lo que se recopila Y lo que se rechaza. La lista de «lo que se rechaza» es la más difícil de escribir y la más informativa para leer — un proveedor que ha reflexionado sobre su minimización de datos publicará ambas. Uno que solo publica «lo que se recopila» no lo ha hecho.

Busque un canario de garantía

Un canario es una declaración de que el proveedor no ha recibido una demanda legal secreta, reafirmada en una cadencia publicada y firmada con una clave pública. Su presencia no es prueba, pero su ausencia es sugerente. Su desaparición — el canario deja de actualizarse — es elocuente. Un proveedor serio publica uno.

FAQ · Sin KYC

Preguntas, respondidas.

Las ocho preguntas que un cliente escéptico formula antes de confiar en una promesa «sin KYC».

¿Qué significa realmente «KYC» y qué exige?

Conozca a su Cliente. El conjunto de procedimientos de verificación de identidad originalmente codificados en la regulación de servicios financieros — nombre, dirección, documento de identidad emitido por el gobierno, a veces una verificación de vivacidad con «selfie con identificación», a veces una factura de servicios como prueba de domicilio. La obligación de los servicios financieros es real y se aplica a bancos, exchanges y empresas de transmisión de dinero. KYC se ha extendido a muchos negocios adyacentes por convención más que por ley; las empresas de alojamiento son una de esas clases adyacentes, y una pequeña parte del mercado de alojamiento ha decidido conscientemente no aplicarlo.

¿Es realmente legal el alojamiento VPS sin KYC?

En cada jurisdicción en la que opera NordBastion — Sweden, Finland, Norway, Iceland — sí, claramente. Una empresa de alojamiento no es una institución financiera regulada; la obligación legal de aplicar KYC a sus clientes no aplica. Lo que el proveedor puede estar obligado a hacer es responder a demandas legales legítimas sobre un servidor específico, pero en la práctica cuantos menos datos tenga el proveedor sobre su cliente en primer lugar, menos hay que entregar. KYC-free no es, por tanto, un vacío regulatorio; es una postura de minimización de datos deliberada dentro de un régimen regulatorio que lo permite.

¿Por qué la mayoría de los proveedores exigen KYC entonces?

Tres razones, aproximadamente en orden descendente de importancia. (1) Seguro ante contracargos: los proveedores que aceptan tarjetas reciben contracargos por fraude a tasas no despreciables, y verificar al titular de la tarjeta reduce esa exposición. (2) Velocidad de gestión de abusos: si un servidor empieza a enviar spam o a alojar contenido ilegal, conocer al propietario legal agiliza el cierre. (3) Legitimidad en la contratación corporativa: los clientes corporativos esperan que se les solicite identificación porque su propio cumplimiento normativo lo exige. Un proveedor centrado en la privacidad y pagado en criptomoneda tiene respuestas diferentes a las tres (sin contracargos de tarjeta, límites estrictos en la política de uso aceptable, autoexclusión deliberada del segmento de contratación corporativa), razón por la cual el modelo sin KYC es viable a pequeña escala y no a gran escala.

¿Cuál es la concesión para el cliente?

Un proveedor no-KYC generalmente no tiene forma de recuperar la cuenta más allá de la contraseña y (si está habilitado) el 2FA. No existe la ruta de «verifique su identidad para restablecer su contraseña» porque no hay identidad registrada. Eso significa que perder las credenciales de la cuenta equivale a perder la cuenta. Los clientes deben tratar la contraseña de la misma manera que tratan la frase semilla de una cartera de criptomonedas — escríbala en papel, guárdela sin conexión, y acepte que no hay alternativa. La contrapartida es real y es el precio de la minimización de datos.

¿Cómo identifico un proveedor no-KYC real frente a uno que solo hace marketing?

Cuatro preguntas. (1) Lea el flujo de registro antes de pagar — ¿algún campo solicita la carga de un documento, un número de teléfono o un nombre legal? (2) Lea los términos de servicio — ¿enumera los límites de uso aceptable explícitamente, o se escuda tras cláusulas comodín vagas? (3) Lea la política de privacidad — ¿indica lo que se recopila Y lo que se rechaza, o solo lo que se recopila? (4) Compruebe si hay un canario de garantía publicado — su ausencia es sugerente. Un proveedor que responde (1) no, (2) explícitamente, (3) ambas listas, (4) sí, está haciendo el trabajo. Un proveedor que falla en cualquiera de los cuatro está vendiendo la marca y no la sustancia.

¿No-KYC significa «todo vale»?

No. Cada proveedor serio sin KYC tiene al menos un límite estricto, escrito explícitamente. La política de uso aceptable de NordBastion nombra exactamente uno — material de abuso sexual infantil — y describe un pequeño conjunto de categorías de comportamiento operativo indebido (spam masivo, organización deliberada de DDoS, etc.) que hacen que un cliente sea suspendido. El propósito del no-KYC es rechazar la recopilación rutinaria de datos, no abandonar el juicio del operador.

¿Qué ocurre si mi país exige a los proveedores de VPS verificar la identidad del cliente?

Algunos países sí tienen este requisito; la mayoría no. La pregunta desde el lado del cliente no es «¿está el proveedor obligado a verificarme por la ley de mi país?», sino «¿está el proveedor obligado a verificarme por la ley del país del proveedor?» — porque es el proveedor quien aplica la norma. NordBastion está registrado en Estonia y opera desde Sweden, Finland, Norway e Iceland; ninguno de ellos impone la verificación de identidad del cliente a los proveedores de alojamiento. Si su propio país tiene normas que se le aplican independientemente de quién le aloje, ese es un problema separado que el proveedor no puede resolver.

¿Puedo usar un correo electrónico falso al registrarme?

Puede hacerlo. Muchos clientes lo hacen — una dirección nueva de Tutanota, Proton, Cock.li o cualquier proveedor respetuoso con la privacidad, usada únicamente para la cuenta de NordBastion y nada más. La cuenta no se vuelve menos recuperable porque el correo sea ficticio; el correo es solo el canal de restablecimiento de contraseña. Si la cuenta aloja cargas de trabajo críticas, trate el correo como una credencial de almacenamiento en frío — una identidad separada que nadie más pueda comprometer para acceder al panel.

Leer las políticas