ExpressVPN fue fundada en 2009 y opera bajo la jurisdicción de las Islas Vírgenes Británicas, que no cuentan con leyes de retención obligatoria de datos. En septiembre de 2021, Kape Technologies adquirió la empresa por 936 millones de dólares, la mayor adquisición de una VPN en la historia. La trayectoria de Kape es fundamental para evaluar ExpressVPN: la empresa operó como Crossrider entre 2011 y 2018, gestionando una plataforma que inyectaba anuncios en extensiones de navegador. Symantec identificó el software de Crossrider como malware y Google lo señaló por distribuir aplicaciones potencialmente no deseadas. El accionista mayoritario de Kape, Teddy Sagi, cumplió condena de prisión por fraude en valores mobiliarios en la década de 1990. Kape también es propietaria de CyberGhost, PIA, ZenMate y, de forma significativa, de los sitios de reseñas vpnMentor y WizCase, que ahora sitúan las propias VPN de Kape en sus primeras posiciones.
La controversia en torno a Daniel Gericke añadió otro nivel de complejidad. Contratado como director de sistemas de información en diciembre de 2019, Gericke había participado anteriormente en el Proyecto Raven, una operación de vigilancia del gobierno de los EAU que tenía como objetivo a ciudadanos estadounidenses, periodistas extranjeros y activistas de derechos humanos mediante exploits de cero clics. Fue multado con 335.000 dólares por el Departamento de Justicia de EE. UU. en el marco de un acuerdo de procesamiento diferido. ExpressVPN reconoció haber conocido datos clave antes de contratarlo, argumentando que su experiencia en el ámbito adversarial mejoró la seguridad defensiva. Edward Snowden cuestionó públicamente el criterio de la empresa. Gericke abandonó la compañía en julio de 2023.
En contraste con este contexto de titularidad corporativa, la infraestructura técnica de seguridad de ExpressVPN es genuinamente impresionante. TrustedServer funciona íntegramente en RAM sin discos duros: cada reinicio carga una imagen del sistema operativo nueva y firmada criptográficamente, y los servidores se someten a ciclos de actualización semanales que borran todos los datos previos. Esta arquitectura ha sido auditada por PwC (2019), Cure53 (2022) y KPMG (2022, 2023, 2025). La política de registros nulos recibió validación en el mundo real en 2017, cuando las autoridades turcas incautaron un servidor físico durante una investigación por asesinato y no recuperaron ningún dato de usuarios.
El protocolo Lightway, desarrollado internamente y publicado como código abierto en GitHub, fue reescrito de C a Rust en 2025 para mejorar la seguridad de memoria. Lightway Turbo, introducido ese mismo año, utiliza tunelización en múltiples carriles y descarga del canal de datos a nivel de núcleo para alcanzar velocidades de hasta 1.479 Mbps en Windows, aunque esta función está disponible actualmente solo en Windows. El Lightway estándar ofrece entre 200 y 300 Mbps en pruebas independientes, un resultado competitivo pero inferior al NordLynx de NordVPN en la mayoría de las comparaciones directas.
El cifrado poscuántico mediante ML-KEM (el estándar del NIST) está implementado por defecto en los protocolos Lightway y WireGuard, lo que convierte a ExpressVPN en uno de los primeros proveedores en ofrecer protección poscuántica en múltiples protocolos. La compatibilidad con WireGuard se añadió en agosto de 2025 junto con la integración poscuántica.
La red de servidores abarca más de 3.000 servidores en más de 105 países y más de 160 ubicaciones. ExpressVPN sortea de manera fiable la censura en China, Irán, los EAU, Rusia y Arabia Saudí, una capacidad crítica de la que carecen muchos competidores. El desbloqueo de servicios de streaming es sistemáticamente el más sólido del sector, con acceso confirmado a más de 20 bibliotecas de Netflix, Disney+, Prime Video, BBC iPlayer, Hulu, HBO Max y DAZN.
Un fallo de seguridad significativo fue la fuga de DNS en el túnel dividido de Windows (CVE-2024-25728), presente desde mayo de 2022 hasta febrero de 2024, es decir, 21 meses durante los cuales las solicitudes DNS eludían el túnel VPN cuando el túnel dividido estaba habilitado. ExpressVPN estima que menos del 1% de los usuarios de Windows se vio afectado. La respuesta incluyó dos análisis de la causa raíz, una prueba de penetración encargada a Nettitude y la desactivación temporal del túnel dividido hasta que se corrigió el problema.
La estructura de precios fue reorganizada en septiembre de 2025 en tres niveles: Basic (2,44 dólares al mes en planes de 2 años, 10 conexiones), Advanced (4,49 dólares al mes, añade gestor de contraseñas y supervisión de identidad) y Pro (7,49 dólares al mes, añade IP dedicada). El precio mensual sigue siendo el más elevado del sector, a 12,99 dólares. Las opciones de pago incluyen tarjetas de crédito, PayPal, Bitcoin, Apple Pay y Google Pay, con una garantía de devolución del dinero de 30 días.
Entre las ausencias destacadas se encuentran el reenvío de puertos (no disponible en ningún servidor), el enrutamiento de múltiple salto y las aplicaciones cliente de código abierto, ya que solo la biblioteca del núcleo de Lightway es pública. El túnel dividido no está disponible en iOS. Estas carencias se perciben con mayor intensidad dado el precio premium de ExpressVPN.
ExpressVPN retiró proactivamente todos los servidores físicos de India en junio de 2022 en lugar de cumplir con el mandato de retención de datos de CERT-In, pasando a utilizar servidores virtuales en Singapur y el Reino Unido para las direcciones IP indias. Los informes de transparencia muestran 529 solicitudes gubernamentales en 2025 y 2,44 millones de reclamaciones DMCA, sin que se haya divulgado ningún dato en ningún caso.
La empresa ha obtenido las certificaciones ISO 27001, 9001 y 18295, con las certificaciones ISO 27701 (privacidad) e ISO 42001 (inteligencia artificial) previstas para 2026. Un nivel gratuito denominado EventVPN, lanzado en noviembre de 2025, funciona sobre infraestructura premium con protección poscuántica y registros nulos, lo que supone un contraste notable con la mayoría de las ofertas de VPN gratuitas.