First VPN ha sido desmantelada en el marco de la operación internacional Saffron liderada por Europol, que se saldó con la incautación de 33 servidores distribuidos en 27 países y la identificación de 506 usuarios. La acción, según el comunicado de las autoridades, conecta el servicio con múltiples ataques ransomware y con actividad delictiva en foros de la ciberdelincuencia.
La noticia importa porque vuelve a enfrentar dos prioridades contrapuestas: la lucha contra el cibercrimen organizado y la protección de la privacidad online. En este caso, las autoridades sostienen que First VPN funcionaba como un servicio “bulletproof”, es decir, orientado a evitar solicitudes judiciales y a facilitar el anonimato de actores maliciosos.
Qué hizo la operación Saffron y por qué afecta a First VPN
Según Europol, la investigación arrancó en 2021 y contó con la participación de 18 países, con Francia, Países Bajos, Luxemburgo, Rumanía, Suiza, Ucrania y Reino Unido entre los principales actores. Como resultado, se incautaron dominios regulares y .onion de First VPN, que ahora muestran un banner informando sobre la operación.
Las autoridades afirman que First VPN prometía no cooperar con tribunales ni estar sujeta a jurisdicciones claras, y que se publicitaba sobre todo en foros de habla rusa vinculados al cibercrimen. En la práctica, esto significa que el servicio habría facilitado la ocultación de infraestructuras usadas para extorsión mediante ransomware y otros delitos.
Además de las incautaciones tecnológicas, la operación llevó a la localización de una residencia en Ucrania relacionada con la investigación. Europol subraya que First VPN aparecía en buena parte de las investigaciones sobre ciberdelitos que seguía el equipo.
Bulletproof VPN vs VPN orientadas a la privacidad: diferencias clave
No todos los servicios VPN son lo mismo. Un punto que conviene recordar es que “bulletproof” no es una etiqueta técnica formal, sino una descripción del modelo de funcionamiento y del público objetivo.
- Cooperación con autoridades: las VPN orientadas a la privacidad suelen indicar claramente en sus políticas cómo responden a solicitudes legales; las bulletproof evitan cualquier compromiso.
- Gestión de abuso: servicios legítimos procesan avisos por abuso y retiran contenidos maliciosos; los bulletproof desatienden esos reportes.
- Publicidad y público: la promoción en foros de ciberdelincuencia es un indicador de riesgo.
Ejemplos recientes ayudan a entender la línea: proveedores como Mullvad o ProtonVPN mantienen políticas estrictas de no-logs y han demostrado capacidad de resistir solicitudes judiciales cuando no hay datos que entregar. Mullvad, por ejemplo, recibió la visita de agentes suecos en 2023 sin resultados prácticos porque no había registros permanentes que entregar. Por el contrario, servicios acusados de facilitar actividad criminal suelen ofrecer garantías contractuales de impunidad o se anuncian en canales que buscan precisamente ese tipo de protección.
Otro caso citado en el sector fue el de Windscribe: una causa judicial en Grecia acabó con la desestimación de cargos por presunta complicidad en cibercrimen contra su CEO, en parte porque sus servidores estaban montados sobre discos RAM sin almacenamiento persistente. Ese ejemplo muestra que no siempre es sencillo distinguir entre privacidad legítima y encubrimiento deliberado.
En el caso de First VPN, Europol considera que la evidencia acumulada durante años y las conexiones con múltiples investigaciones justificaron la acción transnacional.
¿Qué límites legales existen? La ejecución de incautaciones y bloqueos depende de la ley local donde se actúe. Europol coordina y facilita cooperación, pero son los estados quienes piden órdenes, ejecutan registros y proceden según su marco jurídico. Eso introduce mucha variabilidad: la necesidad de una orden judicial, la evidencia requerida y los mecanismos de prueba difieren de un país a otro.
Al mismo tiempo, en la Unión Europea la protección de datos y la privacidad aparecen recogidas en la Carta de Derechos Fundamentales y en el RGPD, que castiga el manejo indebido de información personal. Esa tensión normativa alimenta el debate público: ¿hasta dónde puede llegar la represión del cibercrimen sin erosionar derechos básicos?
Hay iniciativas legislativas que complican aún más el panorama, como propuestas para almacenar metadatos con fines policiales o intentos de inspección automatizada de comunicaciones bajo el argumento de protección infantil. Esas propuestas han generado rechazo por su impacto potencial en la confidencialidad digital.
En el balance, la operación Saffron ilustra la complejidad del fenómeno: por un lado, autoridades que buscan desactivar infraestructuras que facilitan ransomware; por otro, el riesgo de medidas que pudieran afectar servicios legítimos y derechos de privacidad.
Queda por ver si la acción contra First VPN derivará en procesos penales relevantes contra sus responsables, y cómo las cortes de los distintos países valorarán la evidencia técnica recopilada. Lo que sí es claro ahora es que la presión sobre servicios catalogados como bulletproof sigue creciendo, y que el debate legal y político sobre límites y garantías no ha terminado.
