¿Cómo te afecta la jurisdicción de una VPN?

La ‘jurisdicción’ de una VPN es el país en el que está legalmente establecido o constituido el proveedor del servicio. El sistema legal de ese país será el que rija las leyes y regulaciones de privacidad a las que está sometido dicho servicio de VPN.

El nivel de vigilancia y control que tienen los gobiernos sobre el uso de internet varía de un país a otro. Una jurisdicción invasiva o peligrosa puede obligar a una VPN a vigilar, recopilar o compartir datos sobre sus usuarios.

Los servidores VPN están sujetos a la jurisdicción del país en el que se encuentran físicamente y las autoridades de ese país están legalmente autorizadas a incautar servidores individuales para examinar sus datos.

Sin embargo, no pueden obligar a la empresa de la VPN a compartir la información incautada porque su sede está en otro país, fuera del alcance de su jurisdicción legal. Por eso, la política de registros de una VPN es tan importante como una buena jurisdicción.

Dependiendo de las regulaciones de internet de tu país, quizá prefieras elegir una VPN que esté ubicada fuera de tu país de residencia, que cuente con leyes de privacidad robustas y que no participe en acuerdos internacionales de intercambio de datos.

Si estás intentando ocultar tu actividad en internet, no deberías usar una VPN que esté ubicada en un país con una jurisdicción invasiva, ya que podría verse obligada a revelar datos de sus usuarios a las autoridades y estas, a su vez, pueden compartirlos con sus aliados de inteligencia.

Sin embargo, la jurisdicción no es lo único que debe preocuparte.

Si alguna de estas ubicaciones está sujeta a leyes invasivas, podrían ser susceptible de registros injustificados y comprometer tu privacidad en pro de la «seguridad».

Aunque es importante, la jurisdicción es solo uno de los muchos factores a tener en cuenta a la hora de elegir una VPN. Su importancia depende del nivel de protección que necesites.

Si estás buscando protección frente a la vigilancia selectiva, elegir una VPN que se encuentre en una jurisdicción segura probablemente no sea suficiente. Las agencias de inteligencia nacionales tienen acceso a muchísimos recursos: si te señalan, tendrás que preocuparte de más cosas, además de la jurisdicción de la VPN.

La confianza también es un factor fundamental. Una VPN puede mentir a sus clientes y colaborar con las autoridades, aunque opere en una jurisdicción «segura».

Por último, la ubicación de los servidores a los que te conectas y las prácticas de la empresa que los controla probablemente sean más importantes que el lugar en el que está constituida la empresa.

Dicho esto, las jurisdicciones de las VPN siguen siendo relevantes si de verdad te preocupa tu privacidad. Estos son algunos de los problemas a los que podrías ser vulnerable:

Vigilancia y conservación de datos

Las agencias nacionales de inteligencia como la NSA y el GCHQ (Cuartel General de Comunicaciones del Gobierno de Reino Unido) tienen la potestad de obligar a las organizaciones nacionales a registrar, compartir y descifrar información privada.

En Estados Unidos, la Ley Patriótica otorgó nuevos poderes para la recolección de datos federales a través del uso de Cartas de Seguridad Nacional.

Estos requerimientos pueden ir acompañados de una orden de mordaza, lo que impide legalmente a las empresas revelar que están siendo obligadas a cumplir con ellos. Algunas empresas de VPN publican ‘alertas de canario’ en un intento de atajar este problema, un asunto que abordaremos más adelante en esta guía.

Veamos algunos precedentes de ello. En 2013, el servicio de correo electrónico seguro Lavabit fue objetivo del FBI en un intento de recopilar información sobre Edward Snowden.

Lavabit fue obligada por orden judicial a dar las claves de cifrado del contenido de los correos electrónicos de sus usuarios. Esto permitiría al FBI acceder a las comunicaciones en tiempo real de todos los clientes de Lavabit, no solo a las de Snowden.

El fundador de la empresa, Ladar Levison, entregó las claves de cifrado de la empresa y cerró el servicio automáticamente. Las autoridades estadounidenses amenazaron a Levison con detenerlo, argumentando que sus acciones iban en contra de la orden judicial.

Asimismo, el servicio de VPN Riseup, con sede en Seattle, se vio obligado a recopilar datos de los usuarios para las autoridades gubernamentales, y también recibió una orden de mordaza que impedía notificárselo a sus usuarios.

Por su parte, HideMyAss, un proveedor de VPN con sede en el Reino Unido, fue forzada por orden judicial a recolectar y entregar información a las autoridades como parte de una investigación criminal, algo que no se dio a conocer hasta después de que se presentaran cargos.

Estos son solo algunos de los casos que se han hecho públicos, pero es muy probable que haya otros de los que aún no tengamos conocimiento.

Acuerdos de intercambios de datos

Los acuerdos internacionales de vigilancia, como las Alianzas de los Cinco, Nueve y Catorce Ojos, permiten a los países miembros aprovecharse de, como dice la EFF, «el mínimo común denominador de la privacidad».

Si una nación logra acceder a tus datos tras aumentar su capacidad de vigilancia electrónica, es posible que los comparta con otros miembros de la alianza.

Esto significa que es muy probable que tu actividad esté siendo recolectada y compartida con una agencia de inteligencia, independientemente de en qué parte del mundo estés.

Servidores virtuales y servidores alquilados

Algunas VPN optan por alquilar los servidores a centros de datos, ya que resulta mucho más económico que poseer una red internacional propia.

Aunque puede ser una solución rentable, también es mucho menos fiable en términos de privacidad.

Los servidores VPN alquilados son propiedad del centro de datos que los alquila y este podría estar registrando tu actividad, independientemente de la política de registros que tenga la empresa de la VPN.

Dependiendo de la jurisdicción del centro de datos, las autoridades locales también podrían obligar al servidor anfitrión a conservar o compartir los datos del usuario.

En este caso, la jurisdicción y la política de registros de la empresa de la VPN no sirven de nada. Las autoridades locales pueden dirigirse directamente al anfitrión y confiscar la información que necesitan.

Obtén más información sobre los servidores VPN alquilados en nuestra guía dedicada a los servidores virtuales.

Si te preocupa la privacidad, te recomendamos que elijas una VPN que tenga su sede fuera de las Alianzas de los Cinco, Nueve o Catorce Ojos.

Los países que forman parte de estas alianzas son mucho más propensos a participar en programas invasivos de vigilancia, conservación de datos y recopilación de inteligencia.

También es probable que las naciones más poderosas de estas alianzas puedan obligar a otros miembros a registrar datos o a cooperar de otra forma.

¿Qué son los paraísos de la privacidad?

Por lo general, es recomendable elegir una VPN con sede en un país de los considerados «paraísos de la privacidad».

Un paraíso de la privacidad es un país con un entorno jurídico y político favorable a la idea de la privacidad en línea. Estos países no suelen participar en acuerdos obligatorios de vigilancia, conservación o intercambio de datos, y suelen tener las leyes de privacidad más estrictas del mundo.

Sin embargo, el inconveniente es que, aunque estos países no están obligados a compartir los datos de los usuarios con las autoridades internacionales, suelen carecer de regulaciones robustas para proteger adecuadamente dichos datos.

Entre los principales paraísos de la privacidad se encuentran las Islas Vírgenes Británicas, Panamá, las Seychelles, las Islas Caimán y Malasia.

Muchas empresas de VPN, como ExpressVPN y NordVPN, han decidido crear sus empresas en estos países para garantizar que su servicio sea lo más privado posible.

Algunas VPN también han demostrado ser fiables a pesar de operar en jurisdicciones «peligrosa». Private Internet Access (PIA), por ejemplo, no pudo entregar datos al gobierno de Estados Unidos en un caso oficial, a pesar de haber recibido una orden judicial.

Existen varias VPN sin registros que han demostrado su fiabilidad a través de casos reales o auditorías externas. Tener una VPN en una jurisdicción offshore segura añade una capa de protección, ya que es mucho menos probable que se vea forzada a compartir datos.

¿Necesitan las VPN una alerta de canario?

Una alerta de canario (del inglés warrant canary) es una declaración pública que una empresa utiliza para informar indirectamente a sus usuarios de que no ha recibido una orden judicial secreta o un requerimiento gubernamental para entregar datos de los usuarios.

Las solicitudes de datos, como la «Carta de Seguridad Nacional» (NSL) de Estados Unidos, suelen ir acompañadas de un secreto de sumario que impide a la empresa revelar el hecho de que ha sido intervenida.

Así pues, estas alertas tienen como objetivo advertir a los usuarios que sus datos podrían estar en riesgo, sin incumplir formalmente la orden de mordaza.

Estas alertas informan a los usuarios de que no han recibido ninguna orden judicial, orden de mordaza o citación hasta una fecha específica. Si la alerta no se actualiza o se elimina, los usuarios deben asumir que la empresa ha recibido un requerimiento judicial y que se le ha prohibido hablar al respecto.

Muchas VPN deciden utilizar una alerta de canario para convencer a los usuarios de que son de confianza.

Sin embargo, que una VPN publique una alerta de canario no es garantía de que el servicio sea privado o seguro. Asimismo, muchos servicios fiables han decidido no publicar este alerta, ya que su eficacia se ha visto cuestionada.

Algunos expertos argumentan que los gobiernos pueden coaccionar a las empresas para que mantengan el aviso aunque hayan sido intervenidas, invalidándolas por completo.

También es posible que algunos servicios comprometidos estén optando por no actualizar las alertas de canario para no perder clientes, lo que las convertiría en simples estrategias de marketing.

Lamentablemente, no podemos saber con certeza si una alerta es un indicador fiable de la recepción de una orden judicial. Por ello, los usuarios solo pueden especular sobre el verdadero significado de que una de estas alertas haya cambiado o desaparecido.

Recomendamos ver las alertas de canario como un extra una vez que hayas encontrado una VPN de confianza, en lugar de buscar específicamente una que cuente con esta característica.

La NSA es una de las agencias de inteligencia de señales (SIGINT) más conocidas del mundo, pero casi todos los países tienen su propia agencia dedicada a la vigilancia masiva, y suelen colaborar entre sí.

Estas agencias se centran en la aplicación de leyes, la recogida de datos y el contraespionaje mediante la interceptación de señales electrónicas y comunicaciones en línea.

Las alianzas de los Cinco, los Nueve y los Catorce Ojos son tres de los acuerdos internacionales de inteligencia más importantes que llevan a cabo este tipo de vigilancia coordinada entre países miembros.

Los países que pertenecen a estas alianzas son las peores jurisdicciones para una VPN en términos de privacidad, ya que es más probable que respondan a solicitudes de vigilancia de agencias aliadas.

Aquí tienes una lista de las principales entidades de vigilancia internacional que deberías conocer:

1. La Alianza de los Cinco Ojos

Los países que conforman los Cinco Ojos son Estados Unidos, Reino Unido, Canadá, Australia y Nueva Zelanda.

Este acuerdo de intercambio de información se remonta a la Segunda Guerra Mundial y al tratado de seguridad entre el Reino Unido y los Estados Unidos, el acuerdo UKUSA.

Durante las últimas décadas este tratado ha ido aumentando en número y alcance. Los países miembros, conocidos como la Alianza de los Cinco Ojos, trabajan juntos para recopilar, analizar y compartir información de inteligencia tanto a nivel nacional como internacional.

Aunque los países de los Cinco Ojos acordaron no espiarse unos a otros, los documentos filtrados por Edward Snowden revelaron que estos países sí vigilan a sus ciudadanos y comparten esta información entre ellos.

Además de compartir datos entre ellos, los países de los Cinco Ojos también colaboran para enviar y hacer cumplir las notificaciones de conservación de datos, lo que significa que una nación puede presionar a otra para que entregue los registros de los usuarios de una VPN que esté dentro de su jurisdicción.

No es ninguna sorpresa que muchos de los países que pertenecen a los Cinco Ojos sean precisamente los que más abusan de la privacidad digital.

Si te preocupa tu privacidad a la hora de usar una VPN, los países de los Cinco Ojos están considerados las peores jurisdicciones posibles para una VPN.

Sistema de vigilancia ECHELON

Los países de los Cinco Ojos utilizan ECHELON, una red de estaciones de espionaje diseñada para la vigilancia global y la recogida de datos.

ECHELON puede interceptar datos enviados a través de teléfonos, faxes y ordenadores. Las estaciones ECHELON pueden rastrear cuentas bancarias e interceptar los datos enviados desde y hacia los repetidores de satélites. Todos estos datos se almacenan en enormes bases de datos que pueden guardar millones de registros sobre individuos.

Aunque se han ido acumulando pruebas durante casi 30 años, Estados Unidos sigue negando la existencia de ECHELON y el gobierno del Reino Unido contesta con evasivas.

A pesar de estas negaciones, varios denunciantes han confirmado la verdad documentando ciertos aspectos del proyecto ECHELON.

2. La Alianza de los Nueve Ojos

La Alianza de los Nueve Ojos es una extensión de la Alianza de los Cinco Ojos. Está formada por un grupo más amplio de países que colaboran para compartir información. Incluye a todos los países de los Cinco Ojos, además de Francia, Dinamarca, Noruega y los Países Bajos.

La existencia de la Alianza de los Nueve Ojos salió a la luz tras las revelaciones de Edward Snowden en 2013. Básicamente, es una extensión del acuerdo de los Cinco Ojos que colabora para reunir y distribuir datos de vigilancia masiva.

Aunque los cuatro países adicionales no cuentan con programas de vigilancia interna tan amplios como los de Estados Unidos, Reino Unido o Australia, colaboran entre ellos y con los cinco países de la alianza original.

La Alianza de los Nueve Ojos es un acuerdo entre entidades SIGINT y no está oficiado por ningún tratado formal.

3. La Alianza de los Catorce Ojos

La Alianza de los Catorce Ojos está formada por todos los miembros de la Alianza de los Nueve Ojos, además de Alemania, Bélgica, Italia, Suecia y España.

El nombre oficial de la Alianza de los Catorce Ojos es Sectores de Inteligencia de Señales de Europa (SSEUR) y lleva existiendo bajo diversas formas desde 1982. En su día fue concebida para intercambiar información militar, pero se ha ido ampliando para incluir información de vigilancia sobre los ciudadanos corrientes.

Todos los años se celebra la reunión SIGINT Seniors a la que acuden los dirigentes de las agencias SIGINT y donde se discuten temas relacionados con la cooperación y el desarrollo.

Los SIGINT Seniors del Pacífico es una entidad similar que se creó en 2005. Entre sus miembros se encuentran todos los países de los Cinco Ojos, además de India, Francia, Singapur, Tailandia y Corea del Sur.

Se cree que otros países, como Israel y Japón, también colaboran estrechamente con la Alianza de los 14 Ojos y la NSA.

4. La Unión Europea (UE)

La Unión Europea es un conjunto de naciones europeas soberanas. Aunque las políticas de cooperación de la Unión Europea no son tan extensas ni invasivas como las de las Alianzas de los Cinco, Nueve y Catorce Ojos, los Estados miembro de la UE también participan en acuerdos de intercambio de datos.

En 2009, sin embargo, el Tribunal Constitucional de Rumanía (CCR) determinó que las exigencias de la UE violaban el derecho a la privacidad de los ciudadanos. Esta decisión convirtió a Rumanía en un refugio para la privacidad dentro de la UE, lo que explica por qué algunos servicios de VPN, como CyberGhost, han decidido establecerse allí.

Algunos países de la UE dan más importancia a la privacidad que otros, pero muchos cooperan con las autoridades de los Cinco Ojos o SSEUR en el intercambio de datos. Es un aspecto importante a tener en cuenta a la hora de elegir una VPN con sede en una jurisdicción de la UE.

5. Organización de Cooperación de Shanghái (OCS)

La Organización de Cooperación de Shanghái (OCS) (también conocida como Pacto de Shanghái) es una alianza política y económica euroasiática entre Rusia, China, Pakistán, India, Kirguistán, Kazajistán, Uzbekistán y Tayikistán.

La OCS se centra principalmente en la seguridad nacional de sus miembros y, en términos generales, trabaja para luchar contra el extremismo en todas sus formas.

Durante los últimos años, las actividades de la OCS se han ido ampliando para incluir mayor cooperación militar, intercambio de información y lucha contra el terrorismo. Es muy probable que los países miembros de la OCS recojan y compartan datos de forma muy similar a como lo hacen las alianzas de inteligencia occidentales.

6. Países con un alto nivel de censura

 

Algunos países prohíben el uso de VPN e invaden la privacidad de sus ciudadanos independientemente de los acuerdos internacionales.

Entre los países con peores restricciones en internet se encuentran China, Emiratos Árabes Unidos, Turquía, Rusia, Omán, Irak y Bielorrusia, aunque esta lista no es ni mucho menos exhaustiva.

Es muy poco probable que encuentres una VPN o un servidor VPN con sede en alguno de estos países, pero hay que estar atento. En nuestra investigación sobre la propiedad china de aplicaciones de VPN gratuitas, encontramos muchas VPN vinculadas a empresas chinas bastante cuestionables.

Si te preocupa la privacidad de tus datos, también deberías evitar las jurisdicciones con vínculos estrechos con estos gobiernos (como Hong Kong).

Para obtener más información sobre la legalidad de las VPN y las restricciones de uso, consulta nuestra guía sobre la legislación de las VPN.

Hemos analizado las políticas de privacidad de las VPN más populares del mercado y descubrimos que muchos de ellos tienen su sede en jurisdicciones que pueden poner en peligro los datos de los usuarios.

La siguiente tabla recoge las 80 VPN que hemos probado, indicando su jurisdicción y si usan o no una alerta de canario. En aquellos casos en los que la alerta de canario no ha sido actualizada y se sospecha que ha sido activada, el país aparecerá marcado en rojo.