La jurisdicción de las VPN explicada: 5 / 9 / 14 Eyes, la redada a Mullvad y el caso de los registros de PureVPN
El marketing de las VPN insiste mucho en la jurisdicción. Los dos casos de cooperación judicial mejor documentados —la redada a Mullvad de 2023 y la cooperación de PureVPN con el FBI de 2017— demuestran que lo que el proveedor almacena importa más que la bandera del país.
Qué significan realmente los 5 / 9 / 14 Eyes
Los 5 Eyes son un acuerdo de intercambio de inteligencia de señales entre EE. UU., Reino Unido, Canadá, Australia y Nueva Zelanda, con orígenes en el acuerdo UKUSA posterior a la Segunda Guerra Mundial. Los 9 Eyes añaden Dinamarca, Francia, los Países Bajos y Noruega. Los 14 Eyes añaden Alemania, Bélgica, Italia, Suecia y España. El marketing de las VPN ha popularizado la idea de que una VPN registrada en cualquiera de estos 14 países corre riesgo porque su gobierno anfitrión podría obligarla a entregar datos y compartir esos datos con la alianza más amplia. La afirmación es parcialmente cierta —esos gobiernos sí disponen de marcos legales para solicitar datos— pero no es toda la historia.
Dónde tienen su sede las grandes VPN auditadas
Mullvad: Gotemburgo, Suecia (dentro de los 14 Eyes). La entidad operadora de NordVPN, Nordvpn S.A.: Panamá (fuera de los Eyes). Proton VPN: Plan-les-Ouates, Ginebra, Suiza (fuera de los Eyes; Suiza también queda fuera de la UE y del marco de solicitudes legales de EE. UU.). La entidad operadora de ExpressVPN, Express VPN International Ltd.: Islas Vírgenes Británicas (fuera de los Eyes). Surfshark B.V.: Países Bajos (dentro de los 9 Eyes). Dos de las cinco —Mullvad y Surfshark— están en jurisdicciones de los Eyes; tres están fuera. Las cinco han publicado auditorías sin registros.
La redada a Mullvad de 2023: qué ocurrió realmente
El 18 de abril de 2023, seis agentes del Departamento de Operaciones Nacionales (NOA) de Suecia se presentaron en la oficina de Mullvad en Gotemburgo con una orden de registro, con la intención de incautar ordenadores que contuvieran datos de clientes. La orden se había emitido el 17 de febrero de 2023 en cooperación jurídica internacional con las autoridades alemanas. Mullvad documentó el suceso públicamente ese mismo día en mullvad.net/en/blog/mullvad-vpn-was-subject-to-a-search-warrant-customer-data-not-compromised. Según el relato de Mullvad y la información posterior, la policía se marchó sin incautar nada porque los datos que buscaba la orden no existían en los servidores. El historial de auditorías de Cure53 de Mullvad (la más reciente: la 4.ª auditoría de infraestructura, junio de 2024) documenta la configuración de servidor sin registros que produjo este resultado. La implicación: la jurisdicción sí importó —la redada ocurrió— pero la postura operativa de privacidad fue el factor decisivo.
La cooperación de PureVPN con el FBI de 2017: lo contrario
En octubre de 2017, el FBI usó los registros de conexión de PureVPN para identificar a Ryan Lin, un hombre de Massachusetts de 24 años, en un extenso caso de ciberacoso. El marketing de PureVPN previo al caso había enfatizado una afirmación de no registros. La declaración jurada del FBI (citada en escritos del Departamento de Justicia y en información de medios generalistas como bleepingcomputer.com y otros) documentó que PureVPN, en realidad, había conservado registros de conexión que incluían la dirección IP doméstica del cliente al inicio de la sesión, y que esos registros bastaron para identificar a Lin a través de sus sesiones VPN. El caso es el ejemplo inverso canónico: una afirmación de marketing contradicha por lo que el proveedor realmente almacenaba, y la jurisdicción del proveedor (Hong Kong, fuera de los Eyes) no protegió los datos porque los datos existían y respondían a una solicitud legal de EE. UU.
Qué predice la jurisdicción y qué no
La jurisdicción es un factor de riesgo real cuando se presenta una solicitud gubernamental. A un proveedor en una jurisdicción de los 14 Eyes con un marco de cooperación jurídica con el país solicitante se le puede obligar a entregar los datos que posee. Pero la jurisdicción no predice lo que el proveedor posee. Un proveedor sin registros en los 14 Eyes (Mullvad) no tiene nada que entregar; un proveedor que conserva registros en una jurisdicción fuera de los Eyes (PureVPN hacia 2017) sí. Los casos de Mullvad y PureVPN establecen juntos que la variable predictiva es la práctica operativa —verificada mediante auditoría—, no la bandera del país.
Qué sopesar en 2026
Tres factores predicen los resultados reales de privacidad de forma más fiable que la jurisdicción por sí sola. (1) Alcance y vigencia de la auditoría: ¿cubre la auditoría publicada más reciente la configuración a nivel de servidor y se ha realizado en los últimos 24 meses? (2) Clientes de código abierto: ¿se publican como código abierto las aplicaciones de escritorio y móviles? Tanto Mullvad como Proton VPN publican sus clientes en GitHub. (3) Respuesta documentada ante un caso real de coacción legal: Mullvad tiene uno (la redada de 2023), PureVPN tiene el inverso (el caso de 2017). La mayoría de los proveedores no tienen ninguno. Aplica la jurisdicción como criterio de desempate una vez que se cumplen los tres primeros, no como factor principal.
Fuentes
5 / 9 / 14 Eyes: en.wikipedia.org/wiki/Five_Eyes (con citas al acuerdo UKUSA original). Redada a Mullvad de 2023: mullvad.net/en/blog/mullvad-vpn-was-subject-to-a-search-warrant-customer-data-not-compromised. Historial de auditorías de Mullvad: mullvad.net/en/blog/tag/audits. Caso PureVPN/Lin: bleepingcomputer.com/news/security/cyberstalking-suspect-arrested-after-vpn-providers-shared-logs-with-the-fbi. Jurisdicción de NordVPN: nordvpn.com/blog/jurisdiction. Jurisdicción de Proton VPN: protonvpn.com/features/swiss-based. Trust de ExpressVPN: expressvpn.com/trust. Trust de Surfshark: surfshark.com/trust-center. Todas las URL consultadas el 2026-04-30.