Inicio / Guías de Alojamiento Privado / VPS vs Servidor Dedicado para Cargas de Trabajo Críticas de Privacidad

Compra

VPS vs Servidor Dedicado para Cargas de Trabajo Críticas de Privacidad

Un servidor virtualizado comparte CPU, memoria e hipervisor con desconocidos. Para la mayoría de las cargas de trabajo eso está bien. Para algunas, es la elección incorrecta. Esta guía traza la línea.

Read the guide Preguntas frecuentes

El debate VPS vs dedicado suele plantearse como "rendimiento frente a precio". Para las cargas de trabajo críticas de privacidad ese marco es incorrecto. La pregunta real es qué estás dispuesto a compartir — y con quién — a nivel de silicio. Un servidor virtualizado es por definición una máquina de múltiples inquilinos: tu kernel se ejecuta sobre un hipervisor que simultáneamente ejecuta los kernels de extraños. Para la mayoría de las cargas de trabajo en 2026 eso es un límite bien defendido y aceptable. Para algunas, es una responsabilidad estructural que ningún endurecimiento del SO puede corregir.

Esta guía traza la línea. Cubriremos el modelo de amenazas que realmente cambia la respuesta, el historial de CVE de escape de hipervisor que necesitas conocer, la economía práctica y una matriz de decisión sobre qué cargas de trabajo corresponden a cada opción.

El modelo de amenazas que decide la respuesta

Antes de comparar especificaciones, escribe un modelo de amenazas en una sola frase. El tipo de servidor correcto se deduce casi mecánicamente a partir de él.

Tenencia única: qué te compra realmente

En un servidor dedicado — una máquina física asignada exclusivamente a ti — controlas todas las capas por debajo del SO que el contrato del proveedor permite: configuración del BIOS, configuración de arranque seguro, cifrado de disco completo con una contraseña que el proveedor literalmente no puede leer, exposición del IPMI y qué módulos del kernel se cargan. No hay hipervisor entre tú y el silicio. No hay vecinos que compartan la caché L1/L2. No hay bus de memoria compartido donde un ataque de canal lateral pueda observar tus rondas AES.

En un VPS — una porción virtualizada de una máquina física — controlas el SO huésped y nada más. El proveedor controla el hipervisor, las claves de cifrado del disco (en la mayoría de las configuraciones reales) y la máquina física.

Tres categorías de amenaza

Para fines de privacidad, las amenazas se dividen en tres grupos:

Adversario de red. Alguien que intercepta o subpoena la conexión. Se defiende con cifrado de transporte (TLS, WireGuard, SSH) y jurisdicción. El tipo de servidor es irrelevante.
Adversario del proveedor. El propio proveedor de alojamiento, o cualquiera que pueda coaccionarle. Se defiende principalmente por la jurisdicción (cubierta en nuestra guía de jurisdicción) y en segundo lugar por el cifrado de disco completo con una contraseña que el proveedor no tiene. El dedicado gana aquí, modestamente.
Adversario co-inquilino. Alguien que ha alquilado un VPS diferente en la misma máquina física, o que la ha comprometido por otro vector, e intenta escapar de su porción. El dedicado elimina esta categoría por completo; el VPS no.

Si la categoría 3 está en tu modelo de amenazas, la conversación termina — necesitas un servidor dedicado. Si no lo está, un VPS bien configurado en la jurisdicción correcta es suficiente para la inmensa mayoría de las cargas de trabajo sensibles a la privacidad.

VPS vs Servidor Dedicado para Cargas de Trabajo Críticas de Privacidad — El bare metal de un solo inquilino elimina toda la superficie de ataque del hipervisor compartido que los inquilinos virtualizados nunca pueden esquivar por completo.

Escape de hipervisor: ¿con qué frecuencia ocurre?

La respuesta más breve y honesta: raramente, y con parches generalmente disponibles en días. Pero "raramente" no es "nunca", y vale la pena conocer el historial.

Los grandes escapes públicos

Xen XSA-226 (2017) — un error de corrupción de memoria en el manejo de tablas de páginas que permitió a un huésped escalar al host. Parcheado en un mes; los principales proveedores cloud realizaron reinicios de emergencia.
VENOM (CVE-2015-3456) — desbordamiento de búfer en el controlador de disquetera virtual de QEMU, afectando a KVM y Xen. Antiguo pero instructivo: la superficie de ataque era una función que nadie usaba activamente.
L1TF / Foreshadow (2018) — canal lateral de ejecución especulativa de Intel que podía filtrar memoria a través de los límites del hipervisor. Mitigado mediante microcódigo y cambios en la planificación; el impacto en el rendimiento al deshabilitar el hyperthreading fue significativo.
Variantes KVM MDS (continuas, última en 2024) — ataques de muestreo de datos microarquitecturales. Cada nueva generación de chips produce una nueva variante; las mitigaciones tienen un coste de rendimiento medible.

Los escapes públicos que llegan a un CVE son la parte visible. Existen exploits privados; los escapes de nivel nación-estado se han demostrado en Pwn2Own la mayoría de los años. Para una carga de trabajo donde el escape del hipervisor es incluso una amenaza plausible, no querrás estar en un hipervisor.

El canal IPMI / fuera de banda

Tanto los VPS como los servidores dedicados exponen típicamente IPMI (Interfaz de Gestión de Plataforma Inteligente) para el equipo de operaciones del proveedor. En un VPS, la exposición del IPMI es problema del proveedor y no tiene nada que ver contigo. En un servidor dedicado, normalmente puedes pedir que el IPMI esté en una VLAN privada, detrás de VPN, o completamente deshabilitado entre ventanas de mantenimiento. Nosotros ofrecemos por defecto "IPMI desactivado, disponible bajo petición" en los servidores dedicados — consulta la página de servidores dedicados para los detalles operativos.

Cifrado de disco completo: realidades prácticas

Ambos tipos de servidor admiten cifrado en reposo, pero el modelo de confianza es diferente.

Cifrado en VPS

Puedes ejecutar LUKS dentro de tu VPS, que cifra a nivel del sistema de archivos del huésped. Esto protege contra un ladrón que robe el disco subyacente después de apagar el VPS. No protege contra una instantánea de memoria en vivo tomada por el hipervisor — tus claves de cifrado están en la RAM que el hipervisor puede leer. Para la mayoría de las amenazas reales esto es suficiente; para un adversario del proveedor creíble es pura apariencia.

Cifrado en dedicado

En un servidor dedicado, el cifrado de disco completo con una contraseña introducida de forma remota (usando dropbear en initramfs o similar) te da una clave que el proveedor literalmente no puede recuperar sin tu colaboración. La desventaja: un ciclo de energía requiere que introduzcas la contraseña, lo que está bien para la infraestructura personal pero es incómodo para el autoescalado. La ventaja: un proveedor coaccionado que confisca el servidor obtiene texto cifrado.

Recomendación práctica: para un VPS, cifra para protegerte del robo y no finjas que te protege del proveedor. Para un dedicado, configura dropbear-initramfs y acepta el coste del reinicio manual a cambio de una clave que el proveedor no puede alcanzar.

VPS vs dedicado, frente a frente

Dimensión	VPS	Dedicado
Tenencia única	No (comparte CPU, RAM, hipervisor)	Sí (aislamiento físico completo)
Superficie de ataque co-inquilino	Hipervisor + caché compartida	Ninguna
FDE vs adversario del proveedor	Apariencia (clave en RAM legible por hipervisor)	Real (el proveedor obtiene texto cifrado)
Tiempo de arranque	Minutos	Horas o unos pocos días
Actualización de hardware	Cambio de plan	Migración a nuevo servidor
Precio de entrada típico 2026 (offshore)	$5–$15/mes	$60–$200/mes
Exposición IPMI	Oculta (problema del proveedor)	Configurable (tu problema)
Mejor para	Endpoints VPN, hosts de compilación, correo personal, relés Tor, trabajo de desarrollo	Servidores de correo a escala, custodia de claves, cualquier carga con amenaza de categoría 3

Matriz de decisión por carga de trabajo

VPN personal, host de compilación, servidor de desarrollo, relé Tor

VPS. La amenaza es el adversario de red más la jurisdicción; el escape co-inquilino no es una preocupación realista en relación con el coste operativo. Consulta los planes VPS y elige el país que coincida con el resultado de tu guía de jurisdicción.

Servidor de correo personal, servidor XMPP pequeño, servidor Matrix

Un VPS está bien para hasta ~50 usuarios. Por encima de ese número, el rendimiento empieza a ser un problema y querrás dedicado por el rendimiento de la cola IMAP/SMTP, independientemente del eje de privacidad.

Plataforma pública con datos de usuarios (foro, tablón de imágenes, chat)

VPS para el crecimiento inicial, migra a dedicado cuando el número de usuarios o los contenidos empiecen a atraer atención. La tenencia única se vuelve valiosa cuando eres un objetivo en lugar de algo incidental.

Nodo cripto con fondos importantes

Dedicado. La amenaza de categoría 3 es real — que un co-inquilino comprometido lea tu semilla mediante un canal lateral no es ciencia ficción a este nivel de activos. Los planes de servidor dedicado con cifrado de disco completo e IPMI desactivado son el mínimo.

Plataforma para denunciantes / host de filtraciones

Dedicado, en Islandia o Suiza, con cifrado de disco completo y dropbear-initramfs. Esta es la carga de trabajo donde cada capa importa. Combínalo con la guía de jurisdicción para la capa legal.

Distribución masiva de contenidos (vídeo, alojamiento de archivos grandes)

Dedicado, pero por razones de rendimiento más que de privacidad. Un dedicado con 1 Gbps no medido es más barato que un VPS que alcance el mismo ritmo en ráfagas.

La economía, con honestidad

Los precios de VPS en 2026 se han comprimido: 4 GB / 2 vCPU / 80 GB NVMe en una jurisdicción offshore ronda los $9 a $15 al mes según el país. El hardware dedicado en las mismas ubicaciones empieza en $60 (Atom de gama baja o Xeon antiguo) y llega a más de $200 para EPYC o Xeon Scalable de última generación. El multiplicador de 4 a 10 veces es real, y para la mayoría de las cargas de trabajo no está justificado solo por la privacidad — está justificado por el rendimiento.

La división honesta: aproximadamente el 80 % de las cargas de trabajo "necesito alojamiento privado" se sirven mejor con un VPS de $10 en el país correcto. El 20 % restante — custodia cripto de alto valor, plataformas de periodismo, contenidos a escala con atención de adversarios — necesitan dedicado. No gastes de más, ni de menos.

La ruta de migración importa. Elige un proveedor que te permita pasar de VPS a dedicado en el mismo centro de datos sin reconfigurar DNS, jurisdicción ni pago. Mapeamos cada plan VPS a una ruta de actualización dedicada en el mismo país — consulta los planes dedicados.

Lista de verificación operativa para lo que elijas

Confirma por escrito la política IPMI del proveedor antes de hacer el pedido.
Verifica el soporte de cifrado de disco completo — para VPS, que LUKS esté permitido; para dedicado, que dropbear-initramfs esté permitido en la instalación inicial.
Comprueba la AUP para cláusulas de divulgación de escape de hipervisor en VPS — un proveedor serio se compromete a notificar a los clientes en 24 horas tras un escape confirmado.
Para dedicado, pregunta si el servidor es nuevo, de poco uso o reacondicionado — y si puedes solicitar un borrado antes de la entrega.
Lee el resto del stack de privacidad: elección de protocolo VPN, privacidad de pagos y el caso de uso de alojamiento anónimo.

Preguntas frecuentes

FAQ VPS vs dedicado

01 ¿Es un VPS suficientemente privado para uso personal en 2026?

Para casi todas las cargas de trabajo personales — endpoints VPN, correo para un pequeño número de usuarios, hosts de compilación, servidores de desarrollo, relés Tor, blogs personales — un VPS en la jurisdicción offshore correcta es suficientemente privado. La amenaza realista a un servidor personal es la vigilancia de red y las citaciones al proveedor, ambas abordadas por el cifrado de transporte más la jurisdicción. El escape de hipervisor, aunque real, es poco frecuente en relación con la reutilización de contraseñas y los servicios mal configurados. Invierte el presupuesto de privacidad en el país y el endurecimiento del SO, no en saltar a dedicado.

02 ¿Qué es el escape de hipervisor y cuánto debo preocuparme?

Un escape de hipervisor es cuando el código que se ejecuta dentro de una VM huésped explota un fallo en el hipervisor (Xen, KVM, VMware) para leer o escribir memoria perteneciente al host o a otros huéspedes. Los CVE públicos incluyen Xen XSA-226 (2017), VENOM (2015) y L1TF/Foreshadow (2018). Para un VPS personal, el riesgo es bajo — los parches suelen estar disponibles en días, y la mayoría de los escapes públicos requieren una capacidad del atacante muy superior al nivel de script kiddie. Para una carga de trabajo donde el modelo de amenazas incluye atención a nivel de nación-estado o atacantes rivales que pagan por estar en la misma máquina física, el riesgo no es trivial y el dedicado es la respuesta correcta.

03 ¿El cifrado de disco completo me protege en un VPS?

Parcialmente. LUKS o equivalente en un VPS protege contra alguien que robe el disco subyacente después de apagar el VPS — útil para cumplimiento formal y escenarios de robo. No protege contra un hipervisor que pueda leer la RAM de tu huésped (donde viven las claves de cifrado mientras el VPS está en ejecución), y un proveedor que haya sido legalmente coaccionado o comprometido puede tomar una instantánea de memoria. Para protección real contra el proveedor como adversario, necesitas hardware dedicado con FDE cuya clave solo tú introduces.

04 ¿Cuánto más cuesta un servidor dedicado que un VPS?

Aproximadamente entre 4 y 10 veces más, en 2026. Un VPS capaz de 4 GB/2vCPU/80 GB en una jurisdicción offshore cuesta entre $9 y $15 al mes; los servidores dedicados más baratos empiezan en $60 y el hardware de última generación EPYC o Xeon Scalable está entre $150 y $250. La brecha de precio es principalmente coste fijo — electricidad, espacio en el centro de datos, ancho de banda IPMI — no margen. Si tu carga de trabajo no necesita el rendimiento adicional y no tienes amenazas de categoría 3 en tu modelo, el coste extra del dedicado es un desperdicio.

05 ¿Puedo migrar de VPS a dedicado más adelante?

Sí, y deberías planificarlo. La ruta limpia es: elige un proveedor que opere tanto VPS como dedicado en el mismo centro de datos, en la jurisdicción elegida, con el mismo flujo de pago. De esa forma, la migración es una reinstalación del SO más una actualización de DNS — sin cambio de jurisdicción, sin re-incorporación al flujo de pago, y tu historial de postura sin KYC se mantiene intacto. Los proveedores que solo venden VPS acabarán obligándote a cambiar de plataforma cuando te quedes pequeño, que es cuando la mayoría de los operadores tropiezan con un requisito de KYC en un nuevo proveedor.

06 ¿Vale la pena el dedicado para la autocustodia cripto?

Si los fondos son importantes — digamos, más que el coste de un año de alojamiento dedicado multiplicado por algún factor de riesgo que te haría perder el sueño — entonces sí. La amenaza de categoría 3 (ataques de co-inquilinos contra tu semilla en la RAM mediante canales laterales de caché) es la relevante, y se elimina por completo con la tenencia única. Combina hardware dedicado con cifrado de disco completo cuya clave introduces tú mediante dropbear-initramfs, IPMI en una VLAN privada o desactivado, y una jurisdicción con poca exposición al MLAT. Eso es un suelo creíble para la autocustodia.

Ajusta el servidor a la amenaza

Consulta los planes VPS para el trabajo de privacidad cotidiano, o ve directamente a los dedicados bare metal para cargas de trabajo con aislamiento de hardware.

Ver planes VPS Servidores Dedicados Hosting offshore