Callum Tennent supervisa la manera en que probamos y analizamos los servicios de VPN. Es miembro de la IAPP y sus consejos sobre VPN han sido publicados en Forbes e Internet Society.
Tu servicio de VPN podría estar sujeto a leyes de vigilancia intrusiva, conservación o intercambio de datos. Descubre qué es la Alianza de los Cinco Ojos y qué implicaciones tiene para tu privacidad en esta completa guía sobre las jurisdicciones de las VPN.
Los países más poderosos del mundo son miembros de acuerdos secretos de intercambio de inteligencia conocidos como las Alianzas de los Cinco, los Nueve y los Catorce Ojos.
Los países que forman parte de estos acuerdos trabajan juntos para recoger datos de vigilancia masiva y compartirlos entre ellos.
Recogen información como la actividad de navegación, las llamadas telefónicas, los mensajes de texto, los documentos electrónicos, el historial de ubicación y mucho más.
En términos de privacidad, estos países son los peores lugares para establecer una empresa de VPN.
Si tu servicio de VPN tiene su sede en uno de estos países, podría estar sujeto a una vigilancia intrusiva, a la conservación de datos y a las leyes de intercambio de datos. Incluso podría verse obligado a entregar tus datos a las autoridades.
La “jurisdicción” de un servicio de VPN es el país en el que está legalmente establecido o constituido. El sistema legal de ese país será el que rija las leyes y regulaciones de privacidad a las que está sometido dicho servicio de VPN.
El nivel de vigilancia y control que tienen los gobiernos sobre el uso de internet varía de un país a otro. Una jurisdicción invasiva o peligrosa puede obligar a un servicio de VPN a vigilar, recopilar o compartir datos sobre sus usuarios.
La jurisdicción de una VPN es distinta a la ubicación de sus servidores. La mayoría de las VPN tiene servidores en docenas de países distintos, pero cada VPN tiene una única jurisdicción, que es el país en el que la empresa tenga establecida su sede legal.
Los servidores VPN están sujetos a la jurisdicción del país en el que se encuentran físicamente y las autoridades de ese país están legalmente autorizadas a incautar el servidor para examinar sus datos.
Sin embargo, aunque las autoridades pueden confiscar el servidor, no pueden obligar a la empresa de VPN a compartir la información, porque su sede está en otro país. Por eso, la política de registro de una VPN es tan importante como una buena jurisdicción.
Dependiendo de cómo regule internet tu país, es posible que quieras elegir un servicio de VPN que esté ubicado fuera de tu país de residencia.
También es sensato elegir una jurisdicción que tenga unas leyes de privacidad fuertes y que no participe en acuerdos internacionales de intercambio de datos.
¿Cómo afectan las jurisdicciones a los usuarios de VPN?
Si utilizas una VPN por motivos de privacidad, es porque que piensas que no puedes confiar en ciertas partes, ya sean los sitios web que visitas o su gobierno.
Utilizar una VPN que tenga su sede en un país con una jurisdicción invasiva es añadir otro actor en el que no se puede confiar. La VPN podría verse obligada a entregar los datos del usuario a las autoridades, que luego podrían ser compartidos con otros países según los acuerdos de intercambio de información.
Tienes que conocer las jurisdicciones que rigen:
Tu ubicación física
La ubicación del servidor VPN elegido
La base legal de operaciones de tu servicio de VPN
Si alguna de estas ubicaciones está sujeta a leyes invasivas, podría ser susceptible de registros injustificados y comprometer tu privacidad en nombre de la “seguridad”.
Aunque es importante, la jurisdicción es solo uno de los muchos factores a tener en cuenta a la hora de elegir una VPN. Su importancia depende del nivel de protección que necesites.
Si estás buscando protección frente a la vigilancia selectiva, elegir una VPN que se encuentre en una jurisdicción segura probablemente no sea suficiente. Las agencias de inteligencia nacionales tienen acceso a muchísimos recursos: si te señalan, tendrás que preocuparte de más cosas además de la jurisdicción de la VPN.
La confianza también es un factor importante. Una VPN puede mentir a sus clientes y colaborar con las autoridades aunque opere en una jurisdicción “segura”.
Por último, si quieres proteger tu privacidad en línea, la ubicación de los servidores a los que te conectas y las prácticas de la empresa que los controla probablemente sean más importantes que el lugar en el que está constituida la empresa.
Dicho esto, las jurisdicciones de las VPN siguen siendo importantes si de verdad te preocupa tu privacidad. Podrías ser vulnerable a los siguientes problemas:
Vigilancia y conservación de datos
Además de la infraestructura habitual de vigilancia, las agencias nacionales de inteligencia como la NSA y el GCHQ (Cuartel General de Comunicaciones del Gobierno de Reino Unido) tienen el poder de obligar a las organizaciones nacionales a registrar, compartir y descifrar información privada.
En Estados Unidos, la Ley Patriótica introdujo nuevos poderes para la recopilación de datos federales mediante el uso de Cartas de Seguridad Nacional. Estas leyes otorgan poder a las autoridades para coaccionar a una empresa legítima para que se convierta en una herramienta de recopilación de datos para las agencias estatales.
Estas solicitudes pueden ir acompañadas de una orden de mordaza que hace que sea ilegal que la empresa revele lo que se le está obligando a hacer. Algunas empresas de VPN publican órdenes judiciales en un intento de abordar este problema, que trataremos más adelante en esta guía.
Hay precedentes. En 2013, el servicio de correo electrónico seguro Lavabit fue objetivo del FBI en un intento de recopilar información sobre Edward Snowden.
Lavabit fue obligada por orden judicial a dar las claves de cifrado del contenido de los correos electrónicos de sus usuarios. Esto permitiría al FBI acceder a las comunicaciones en tiempo real de todos los clientes de Lavabit, no solo a las de Snowden.
Captura de pantalla de los archivos del caso Lavabit publicados por el FBI; la dirección de correo electrónico de Snowden se dejó sin editar por error.
El fundador de la empresa, Ladar Levison, entregó las claves de cifrado de la empresa y cerró el servicio simultáneamente. Las autoridades estadounidenses amenazaron a amenazar a Levison con detenerlo, argumentando que sus acciones iban en contra de la orden judicial.
De forma similar, el servicio de VPN Riseup, con sede en Seattle, se vio obligado a recopilar datos de los usuarios para las autoridades gubernamentales, y también recibió una orden de mordaza que impedía que se lo notificara a sus usuarios.
HideMyAss, un proveedor de VPN con sede en el Reino Unido, también recibió una orden judicial para recopilar datos y compartirlos con las autoridades en una investigación criminal. Algo que no se reveló hasta después de la acusación.
Estos son solo algunos ejemplos de casos que se han hecho públicos; es muy probable que haya otros casos que aún no conocemos.
Acuerdos de intercambios de datos
Los acuerdos internacionales de vigilancia, como las Alianzas de los Cinco, Nueve y Catorce Ojos, permiten a los países miembros aprovecharse de, como dice la EFF, “el mínimo común denominador de la privacidad”.
Dicho de otro modo, todos los países participantes se benefician de los datos de vigilancia masiva que aportan los demás miembros.
Las prácticas de intercambio de información de estos países tienen muchas implicaciones para los usuarios de internet en general, y de las VPN en particular. Es razonable suponer que si alguna de estas naciones obtiene acceso a tus datos, los puede compartir con el resto de países.
Si se aprueba una ley que amplía la capacidad de vigilancia electrónica en uno de estos países, es como si se aprobara esa misma legislación en todos los países del acuerdo.
Esto significa que hay muchas probabilidades de que tu actividad sea recogida y compartida con una agencia de inteligencia independientemente de en qué parte del mundo estés. Entonces, la clave está en que las VPN no registren ningún tipo de dato identificable que se pueda entregar a las autoridades.
Ubicaciones de servidores virtuales y servidores alquilados
Algunos servicios de VPN alquilan sus servidores a centros de datos para reducir los costes operativos. Esto permite gestionar una red de servidores internacionales de forma mucho más económica que si posees los servidores directamente.
Aunque esta práctica puede reducir los gastos generales de un proveedor de VPN, también puede ser un problema en términos de privacidad.
Los servidores VPN alquilados son propiedad del centro de datos que los alquila, y podría guardar registros de tu actividad independientemente de la política de registro de la empresa de VPN.
Dependiendo de la jurisdicción aplicable al centro de datos, las autoridades locales también podrían obligar al anfitrión del servidor a conservar o compartir los datos del usuario.
En este caso, la jurisdicción y la política de registro de la empresa de la VPN no sirven de nada. Las autoridades locales pueden dirigirse directamente al anfitrión del servidor y confiscar la información que necesitan.
Elegir una jurisdicción de VPN segura
Si te preocupa la privacidad, te recomendamos que elijas un servicio de VPN que tenga su sede fuera de las Alianzas de los Cinco, Nueve o Catorce Ojos.
Los países que forman parte de estas alianzas son mucho más propensos a participar en programas invasivos de vigilancia, conservación de datos y recopilación de inteligencia.
También es probable que las naciones más poderosas de estas alianzas puedan obligar a otros miembros a registrar datos o a cooperar de otra forma.
Cuando analices la jurisdicción de una VPN, tienes que tener en cuenta los siguientes factores:
Que no tenga conexiones con naciones intrusivas. Algunos gobiernos están políticamente obligados o conectados con países más poderosos e invasivos. Estos vínculos internacionales podrían poner en peligro la privacidad de tus datos.
El historial de órdenes judiciales y citaciones. Evita los países y gobiernos con un historial de censura en internet o de persecuciones relacionadas con el contenido de los registros de navegación de sus ciudadanos.
Leyes estrictas de privacidad y neutralidad de red. Aunque las leyes de neutralidad de red no afectan directamente a tu privacidad, implican que el gobierno tiene una relación con los ISP y los proveedores de telecomunicaciones que podría perjudicar al consumidor.
¿Qué son los paraísos de la privacidad?
Por lo general, es recomendable elegir una VPN con sede en un país que considerado un “paraíso de la privacidad”.
Un paraíso de la privacidad es un país con un entorno jurídico y político favorable a la idea de la privacidad en línea. Estos países no suelen participar en acuerdos obligatorios de vigilancia, conservación o intercambio de datos, y suelen tener las leyes de privacidad más estrictas del mundo.
Aunque estos países no están obligados a compartir los datos de los usuarios con las autoridades internacionales, tampoco suelen tener las normativas necesarias para garantizar que los datos de los usuarios estén debidamente protegidos. Esto significa que podrías estar comprometiendo tu seguridad en pro de tu privacidad.
Entre los principales paraísos de la privacidad se encuentran las Islas Vírgenes Británicas, Panamá, las Seychelles, las Islas Caimán y Malasia.
Muchas empresas de VPN registran sus negocios en estos países para garantizar que su servicio sea lo más privado y seguro posible. Algunos ejemplos son ExpressVPN, NordVPN, Astrill y Surfshark.
También hay servicios de VPN que han demostrado ser fiables a pesar de operar en una jurisdicción “peligrosa”. Private Internet Access (PIA), por ejemplo, no proporcionó datos al gobierno de Estados Unidos en un caso judicial oficial, a pesar de un requerimiento de información.
Existen varios servicios de VPN sin registros que han superado pruebas en la vida real o han sido auditados por terceros. Una VPN en una jurisdicción extranjera segura añade una protección adicional, ya que hay menos posibilidades de que pueda verse obligada a entregar datos a las autoridades, como es el caso de la VPN Private Internet Access.
¿Necesitan las VPN una alerta de canario?
Una alerta de canario (del inglés Warrant Canary) es un término coloquial para referirse a una declaración que se publica regularmente para demostrar que el proveedor de servicios no ha sido intervenido por una agencia gubernamental y no está obligado a compartir los datos del usuario.
Las solicitudes de datos, como la “Carta de Seguridad Nacional” (NSL) de Estados Unidos, suelen ir acompañadas de un secreto de sumario que impide a la empresa anunciar que ha sido intervenida.
El objetivo de una alerta de canario es burlar estas restricciones legales y advertir a los usuarios de que sus datos podrían dejar de estar seguros, sin técnicamente infringir la orden judicial de no hacerlo.
Estos avisos suelen informar a los usuarios de que no han recibido ninguna orden judicial, orden mordaza o citación en una fecha determinada.
Si el aviso no se actualiza o si se elimina por completo, los usuarios asumen que la prohibición de hablar ha entrado en vigor y el anfitrión ha recibido una solicitud legal.
Captura de pantalla de la alerta de canario de NordVPN.
Muchos servicios de VPN deciden utilizar un warrant canary para convencer a los usuarios de que son de confianza.
Sin embargo, que un servicio de VPN publique una alerta de canario no es garantía de que el servicio sea privado o seguro. Igualmente, muchos servicios fiables y de buena reputación deciden no publicar este aviso por una cuestión de principios, ya que los expertos siguen debatiendo su eficacia.
Hay quienes piensan que los gobiernos pueden coaccionar a las empresas para que mantengan el aviso aunque hayan sido intervenidas, por lo que su uso sería inútil.
También es posible que un servicio comprometido no quiera eliminar el aviso para no perder clientes. En este sentido, muchas alertas de canario no son más que una estrategia de marketing de empresas a las que no les importa la privacidad del usuario.
Por desgracia, no podemos saber con seguridad si la alerta es un verdadero indicador de que ha llegado una orden judicial. Los usuarios tienen que fiarse de las especulaciones para decidir cuál es el significado de que uno de estos avisos cambie o desaparezca.
Nosotros recomendamos ver estos avisos como una característica adicional una vez que hayas elegido un servicio de VPN de confianza, y no buscar específicamente una VPN que disponga de uno.
Las Alianzas de los 5 Ojos, los 9 Ojos y los 14 Ojos
La mayoría de la gente piensa en la NSA cuando se habla de vigilancia masiva, pero casi todos los países tienen su propia agencia de inteligencia de señales (SIGINT).
Estas agencias se centran en la aplicación de leyes, la recogida de datos y el contraespionaje mediante la interceptación de señales electrónicas y comunicaciones en línea. Además, suelen trabajar juntas.
Las alianzas de los Cinco, los Nueve y los Catorce Ojos son tres de los acuerdos internacionales de inteligencia más importantes que llevan a cabo este tipo de vigilancia coordinada. También son las peores jurisdicciones VPN en términos de privacidad.
Aquí tienes una lista de las principales entidades de vigilancia internacional que deberías conocer:
1. La Alianza de los Cinco Ojos
Los países que conforman los Cinco Ojos son Estados Unidos, Reino Unido, Canadá, Australia y Nueva Zelanda.
Este acuerdo de intercambio de información se remonta a la Segunda Guerra Mundial y al tratado de seguridad entre el Reino Unido y los Estados Unidos, el acuerdo UKUSA.
Durante las últimas décadas este tratado ha ido aumentando en número y alcance. Los países miembros, conocidos como la Alianza de los Cinco Ojos, trabajan juntos para recopilar, analizar y compartir información de inteligencia tanto a nivel nacional como internacional.
Aunque los países de los Cinco Ojos acordaron no espiarse unos a otros, los documentos filtrados por Edward Snowden revelaron que estos países sí vigilan a sus ciudadanos y comparten esta información entre ellos.
Además de compartir datos entre ellos, los países de los Cinco Ojos también colaboran para enviar y hacer cumplir las notificaciones de conservación de datos, lo que significa que una nación puede presionar a otra para que entregue los registros de los usuarios de una VPN que esté dentro de su jurisdicción.
No es ninguna sorpresa que muchos de los países que pertenecen a los Cinco Ojos sean precisamente los que más abusan de la privacidad digital.
Aquí tienes algunos ejemplos de países de los Cinco Ojos y sus leyes antiprivacidad:
Reino Unido. El gobierno del Reino Unido aprobó en 2016 la Ley de Poderes de Investigación, que obliga a los ISP y a las empresas de telecomunicaciones del Reino Unido a registrar la actividad de navegación, registros de conexión y mensajes de los usuarios. Estos datos se guardan durante 12 meses y están a disposición de las agencias gubernamentales británicas y de terceros sin necesidad de una orden judicial.
Estados Unidos. El gobierno de Estados Unidos es líder mundial en vigilancia masiva y recopilación de datos. Las autoridades cuentan con la ayuda de las empresas tecnológicas y de telecomunicaciones y los proveedores de servicios de internet, tal y como quedó reflejado en el programa PRISM.En 2006 se supo que el gobierno de Estados Unidos vigilaba a sus ciudadanos sin tener una orden judicial interviniendo todo el tráfico que pasa por la red troncal de internet de AT&T. Desde marzo de 2017, los ISP estadounidenses también están autorizados a registrar la actividad de los usuarios y a vender esa información para obtener beneficios.
Australia. Australia ha puesto en marcha leyes de recogida de datos similares a las del Reino Unido. La ley obliga a los ISP a controlar y registrar los metadatos de los usuarios. Estos datos se almacenan durante dos años y las autoridades pueden acceder a ellos sin necesidad de una orden judicial. La policía también puede obligar a las empresas a compartir mensajes cifrados sin que el usuario lo sepa.
Si te preocupa tu privacidad a la hora de usar una VPN, los países de los Cinco Ojos están considerados las peores jurisdicciones posibles para una VPN.
Sistema de vigilancia ECHELON
Los países de los Cinco Ojos utilizan ECHELON, una red de estaciones de espionaje diseñada para la vigilancia global y la recogida de datos.
ECHELON puede interceptar datos enviados a través de teléfonos, faxes y ordenadores. Las estaciones ECHELON pueden rastrear cuentas bancarias e interceptar los datos enviados desde y hacia los repetidores de satélites. Todos estos datos se almacenan en enormes bases de datos que pueden guardar millones de registros sobre individuos.
Aunque se han ido acumulando pruebas durante casi 30 años, Estados Unidos sigue negando la existencia de ECHELON y el gobierno del Reino Unido contesta con evasivas.
La Alianza de los Nueve Ojos es una extensión de la Alianza de los Cinco Ojos. Está formada por un grupo más amplio de países que colaboran para compartir información. Incluye a todos los países de los Cinco Ojos, además de Francia, Dinamarca, Noruega y los Países Bajos.
La existencia de la Alianza de los Nueve Ojos salió a la luz tras las revelaciones de Edward Snowden en 2013. Básicamente es una extensión del acuerdo de los Cinco Ojos que colabora para reunir y distribuir datos de vigilancia masiva.
Aunque los cuatro países adicionales no cuentan con programas de vigilancia interna tan amplios como los de Estados Unidos, Reino Unido o Australia, colaboran entre ellos y con los cinco países de la alianza original.
La Alianza de los Nueve Ojos es un acuerdo entre entidades SIGINT y no está oficiado por ningún tratado formal.
3. La Alianza de los Catorce Ojos
La Alianza de los Catorce Ojos está formada por todos los miembros de la Alianza de los Nueve Ojos, además de Alemania, Bélgica, Italia, Suecia y España.
El nombre oficial de la Alianza de los Catorce Ojos es Sectores de Inteligencia de Señales de Europa (SSEUR) y lleva existiendo bajo diversas formas desde 1982. En su día fue concebida para intercambiar información militar, pero se ha ido ampliando para incluir información de vigilancia sobre los ciudadanos corrientes.
Todos los años se celebra la reunión SIGINT Seniors a la que acuden los dirigentes de las agencias SIGINT, como el BND, la NSA, la DGSE o el GCHQ, entre otras. Estas reuniones son una oportunidad para que los líderes de la inteligencia mundial hablen sobre la cooperación y el desarrollo.
Los SIGINT Seniors del Pacífico es una entidad similar que se creó en 2005. Entre sus miembros se encuentran todos los países de los Cinco Ojos, además de India, Francia, Singapur, Tailandia y Corea del Sur.
Se cree que otros países, como Israel y Japón, también colaboran estrechamente con la Alianza de los 14 Ojos y la NSA.
4. La Unión Europea (UE)
La Unión Europea es un conjunto de naciones europeas soberanas. Es una de las uniones políticas y económicas más grandes y poderosas del mundo, y también es un problema en términos de vigilancia y privacidad de datos.
Aunque las políticas de cooperación de la Unión Europea no son tan extensas ni invasivas como las de las Alianzas de los Cinco, Nueve y Catorce Ojos, los Estados miembro de la UE también participan en acuerdos de intercambio de datos.
Existen excepciones a esta regla. En 2009, el Tribunal Constitucional de Rumanía (CCR) dictaminó que las exigencias de la UE constituían una violación del derecho a la intimidad de los ciudadanos rumanos.
Esta decisión convierte a Rumanía en un refugio seguro para la privacidad de los usuarios entre las naciones de la UE y ayuda a explicar por qué algunos servicios de VPN, como CyberGhost, eligen establecer sus operaciones allí.
Algunos países son más privados que otros, pero muchos cooperan con las autoridades de los Cinco Ojos o SSEUR y tienen un historial de intercambio de datos. Merece la pena tenerlo en cuenta a la hora de elegir una VPN con sede en una jurisdicción de la UE.
Organización de Cooperación de Shanghái (OCS)
La Organización de Cooperación de Shanghái (OCS) (también conocida como Pacto de Shanghái) es una alianza política y económica euroasiática entre Rusia, China, Pakistán, India, Kirguistán, Kazajistán, Uzbekistán y Tayikistán.
La OCS se centra principalmente en la seguridad nacional de sus miembros y, en términos generales, trabaja para luchar contra el extremismo en todas sus formas.
Durante los últimos años, las actividades de la OCS se han ido ampliando para incluir mayor cooperación militar, intercambio de información y lucha contra el terrorismo. Es muy probable que los países miembros de la OCS recojan y compartan datos de forma muy similar a como lo hacen las alianzas de inteligencia occidentales.
6. Países con un alto nivel de censura
Algunos países prohíben el uso de VPN e invaden la privacidad de sus ciudadanos independientemente de los acuerdos internacionales.
Entre los países con peores restricciones a internet se encuentran China, Emiratos Árabes Unidos, Turquía, Rusia, Omán, Irak y Bielorrusia, aunque esta lista no es ni mucho menos exhaustiva.
Es muy poco probable que encuentres una VPN o un servidor VPN con sede en alguno de estos países, pero hay que estar atento. En nuestra investigación sobre la propiedad china de aplicaciones de VPN gratuitas encontramos muchas VPN vinculadas a empresas chinas bastante cuestionables.
Si te preocupa la privacidad de tus datos, también deberías evitar las jurisdicciones con vínculos estrechos con estos gobiernos (como Hong Kong).
Comparación de jurisdicciones de VPN (se han analizado más de 90)
Hemos analizado las políticas de privacidad de los servicios de VPN más populares del mercado y descubrimos que muchos de ellos tienen su sede en jurisdicciones que pueden poner en peligro los datos de los usuarios.
Analizamos más de 90 VPN y descubrimos que:
El 57 % de las VPN tienen su sede en un estado miembro de la Alianza de los Cinco, Nueve o Catorce Ojos. Estos países aparecen marcados en rojo.
El 32 % de las VPN tienen su sede en un estado miembro de Unión Europea sospechoso de estar vinculado a otro gobierno invasivo. Estos países aparecen marcados en ámbar.
El 11 % de las VPN tienen su sede en jurisdicciones “seguras”, fuera del alcance de los gobiernos que abusan de la privacidad o de los acuerdos internacionales de intercambio de datos. Estos países están marcados en verde.
La siguiente tabla recoge los 90 servicios VPN que hemos probado, indicando su jurisdicción y si usan o no un warrant canary.
Si estás buscando una VPN en concreto, utiliza Ctrl+F para encontrar el proveedor que buscas.
