Las VPN no siempre proporcionan impunidad

 

Hace apenas una semana ha tenido lugar la Operación Saffron (azafrán en inglés), gracias a la cual se ha desmantelado la infraestructura tecnológica que empleaban los delincuentes para ocultar ataques de ransomware, robo de datos y otros delitos graves. En una operación internacional liderada por Francia y Países Bajos, con el apoyo de Europol y Eurojust, se ha bloqueado First VPN, el servicio de red privada virtual (VPN, por sus siglas en inglés) que servía de tapadera para estos cibercriminales. Aviso a navegantes: las VPN no siempre proporcionan impunidad.

A grandes rasgos, una VPN actúa como filtro para ocultar la dirección IP, redirigiendo la navegación a través de servidores en otras áreas geográficas. Gracias a ello, ni siquiera el proveedor de acceso a internet (ISP) es capaz de ver qué paginas se visitan o que datos se envían y reciben. En países sujetos a censura o persecución a disidentes son muy utilizadas, pero, además, en los últimos tiempos se han popularizado mucho para dotarse de un plus de seguridad y para acceder a servicios en internet que no está autorizados en el país en el que se reside. A fin de cuentas, con una VPN uno puede estar navegando desde España y aparecer ante el exterior que se hace desde Nueva Zelanda.

Esta anonimización es la que resultaba atractiva para los clientes de First VPN, que ha estado siendo publicitada durante años en foros de ciberdelincuencia, especialmente de hablar rusa. Se vendía como el mejor medio para eludir la acción de las fuerzas del orden proporcionando, no sólo los servicios propios de una VPN, sino también pagos anónimos y, según detalla Europol, servicios diseñados específicamente para uso delictivo. De hecho, al menos 25 grupos de ransomware, como Avaddon Ransomware, utilizaron los servicios de First VPN para cometer sus tropelías. Escaneo, botnets, ataques de denegación de servicio (DDoS), estafas y piratería informática conforman el abanico de otros delitos cometidos apoyándose en esta VPN.

La Operación Saffron tuvo lugar el 19 y 20 de mayo, pero detrás de la misma hay cuatro años y medio de duro trabajo, pues se inició en diciembre de 2021. Además de la detención del administrador de First VPN y el registro de su domicilio en Ucrania, se cerraron y confiscaron múltiples dominios y se desmantelaron 33 servidores. Todavía más importante: se pudo acceder a una copia de su base de datos de usuarios de manera que ha sido posible identificar las conexiones VPN utilizadas específicamente por ciberdelincuentes. El FBI publicó una alerta con todos los detalles técnicos, el mapeo realizado por MITRE ATT&CK (la organización sin ánimo de lucro que opera la base de datos de vulnerabilidades CVE) y las recomendaciones pertinentes.

Según detalla la Agencia de la Unión Europea para la Cooperación en materia de Justicia Penal (Eurojust), las autoridades consiguieron acceder al servicio VPN antes de que dejara de funcionar, obteniendo información valiosa y datos de tráfico de usuarios que creían estar llevando a cabo sus operaciones delictivas en un entorno seguro. Las promesas de "Anonimato, Estabilidad y Seguridad” (ver foto superior, gracias a los archivos de Internet Archive) que prometía First VPN, así como de que no almacenaba ningún registro que pudiera asociar una dirección IP con un usuario, se han esfumado. Para esta operación se ha creado un grupo de trabajo operativo que reúne a investigadores de 16 países, entre los que figura España, para analizar los datos incautados y coordinar el intercambio de información con socios internacionales.

El mensaje que transmite la Operación Saffron: si vas a cometer un delito, no te las prometas muy felices sólo porque uses los servicios de una VPN. Ya en el pasado hemos asistido a operaciones similares. Menospreciar la capacidad de las autoridades para infiltrarse en este tipo de servicios, definitivamente, parece una mala idea, por mucho que los proveedores afirmen, como hacía First VPN, que ni colaboran con el poder judicial ni registran datos de usuarios.  

No obstante, también hay casos en los que la VPN, efectivamente, no almacena datos de usuarios y, por tanto, resulta imposible identificar al ciberdelincuente. Esta es lo que sucedió con Windscribe, cuyo fundador Yegor Sak, llegó a ser procesado en 2022 por la fiscalía griega, aunque absuelto en 2025. Sak apuntaba en su blog que “no aprobamos el uso de Windscribe para ninguna actividad delictiva. Algunos delitos son indiscutibles y universalmente reprobados (fraude, piratería informática, material de abuso infantil, porno vengativo, extorsión, etc.), y nos encantaría ayudar a encarcelar a quienes los cometen. Sin embargo, para ello, tendríamos que mantener registros exhaustivos, y una vez que se supiera de su existencia, no tendríamos más remedio que cooperar con las autoridades legales de diversos países en lo que respecta a cualquier tipo de delito”. Pero no almacenaban dicha información porque, como concluía esa misma entrada, “ninguno de nosotros quiere ir a la cárcel por una suscripción de 9 dólares, y llevar registros durante varios años es bastante caro”.

Es un tema que preocupa en la Unión Europa, tal y como se refleja en informes del Grupo de Alto Nivel de la Comisión Europea (CE), en el que precisa que “las VPN están diseñadas para proteger la privacidad de los usuarios legítimos, pero también proporcionan a los delincuentes medios eficaces para ocultar sus identidades, comercializar sus productos y servicios delictivos, canalizar pagos y encubrir sus actividades y comunicaciones, evitando de forma efectiva su detección, investigación y enjuiciamiento”.

A pesar de ello, desde la CE niegan que por el momento se prepare una ofensiva contra las VPN. Cuando lo haga, desde luego, tendrá que hacerlo mejor de lo que lo ha intentado LaLiga en España, que ha fracasado al querer, por vía judicial, cerrar direcciones IP y multar a los proveedores NordVPN y ProtonVPN por dar acceso a IPTVs que retransmiten por internet partidos de fútbol sin pagar derechos.