Five Eyes, Nine Eyes, Fourteen Eyes
El marco "Five Eyes" domina el marketing de VPN. Cada lista de privacidad advierte sobre los países Five Eyes; cada proveedor de VPN no en uno se enorgullece de eso. La mayoría del marco es engañoso.
Esta es la versión honesta. Qué son realmente las alianzas, qué pueden y no pueden hacerle a un proveedor de VPN, por qué "sin logs" importa más que la jurisdicción, y dónde se sitúa Fexyn (Wyoming, EE. UU. — Five Eyes) en el panorama.
Qué son realmente las alianzas
Five Eyes. El acuerdo original de inteligencia de señales compartidas entre Estados Unidos, Reino Unido, Canadá, Australia y Nueva Zelanda. Raíces en el Acuerdo UKUSA de 1946. Formalizado a través del Acuerdo BRUSA y varias enmiendas desde entonces. Los miembros comparten SIGINT (comunicaciones interceptadas) entre sí.
Nine Eyes. Five Eyes más Dinamarca, Francia, Países Bajos y Noruega. Menos formal que Five Eyes — relaciones adicionales de compartición en lugar de un solo tratado unificado.
Fourteen Eyes. Nine Eyes más Alemania, Bélgica, Italia, España y Suecia. Aún menos formal.
Más allá de Fourteen Eyes, varias relaciones bilaterales y multilaterales de compartición de SIGINT existen con otros países. Las alianzas no son líneas legales claras; son grupos de cooperación. Israel, Japón, Singapur y Corea del Sur participan en alguna compartición sin ser miembros formales.
Qué pueden hacer las alianzas a los proveedores de VPN
Tres capacidades concretas, en orden de severidad:
1. Forzar la entrega de logs. Un proveedor de VPN en un país miembro, servido con una orden legal, debe entregar cualquier log que tenga. Si el proveedor tiene logs detallados de conexión, esos van a la agencia solicitante. Si el proveedor no tiene logs (genuinamente — sin historial de navegación, sin registros de consulta DNS, sin metadatos de conexión por sesión), no hay nada que entregar.
2. Emitir órdenes de mordaza. Algunos mecanismos legales (Cartas de Seguridad Nacional de EE. UU., notificaciones de la Ley de Poderes de Investigación del Reino Unido) prohíben al receptor divulgar la solicitud. Un proveedor puede recibir tal orden y no poder divulgar públicamente. El patrón de "warrant canary" — una declaración periódica de que no se ha recibido tal orden — es el workaround.
3. Mandar asistencia continua. En circunstancias limitadas, los proveedores pueden ser ordenados a instalar infraestructura de monitoreo o modificar sistemas para habilitar el monitoreo. Esto es raro y agresivamente impugnado en corte cuando pasa (Apple-FBI 2016 fue el ejemplo público para un servicio no-VPN).
Lo que las alianzas no pueden hacer:
- Romper la encriptación. AES-256, ChaCha20-Poly1305, X25519 — la cripto moderna que las VPN usan no es rompible a través del criptoanálisis conocido.
- Forzar a un proveedor de un país no miembro a entregar logs a un país miembro directamente. Los tratados de asistencia legal mutua (MLAT) proveen rutas indirectas, pero son más lentas y más restringidas legalmente.
- Forzar a un proveedor sin logs a fabricar logs que no tiene. El proveedor puede ser ordenado a empezar a registrar logs desde la fecha de la orden hacia adelante, pero no puede producir retroactivamente logs que nunca fueron recolectados.
El tercer punto es el clave. Un proveedor genuinamente sin logs en un país Five Eyes no tiene nada significativo que entregar para actividad que pasó antes de la orden. Un proveedor que registra logs en Suiza tiene mucho.
La pregunta real: registro de logs, no jurisdicción
El marco Five Eyes asume que el proveedor de VPN tiene logs. Si los tienen, la jurisdicción importa porque las jurisdicciones cooperativas pueden forzar la producción. Si no los tienen, la jurisdicción importa menos.
Las preguntas relevantes para evaluar un proveedor de VPN son:
¿El proveedor mantiene logs que podrían identificar la sesión específica de un usuario específico? La mayoría de los proveedores dicen "sin logs". La versión honesta es que casi cada proveedor mantiene ALGUNOS logs (correo de cuenta para soporte, registros de pago para facturación, ancho de banda agregado para planificación de capacidad). La pregunta es si los logs que existen podrían responder una citación como "¿quién usó la IP de salida X.X.X.X en el momento T?"
La respuesta de un proveedor sin logs a esa citación es "no podemos producir esos datos porque no retenemos el mapeo". La respuesta de un proveedor que registra logs es la cuenta del usuario.
¿Ha sido la afirmación sin logs verificada independientemente? Los reportes de auditoría de Cure53, Deloitte, KPMG, PricewaterhouseCoopers agregan peso. ProtonVPN tiene múltiples auditorías Cure53. Mullvad tiene auditorías. NordVPN, Surfshark, ExpressVPN todos han tenido auditorías con alcance variable. Fexyn aún no tiene una auditoría publicada; reconocemos esta brecha.
¿Qué filtra la infraestructura de pago del proveedor? Si pagaste con tarjeta, hay un vínculo emisor-de-tarjeta-a-proveedor que existe sin importar el registro de logs. El pago en cripto limita este vínculo. Para usuarios con modelos de amenazas elevados, el rastro de pago es su propia consideración.
¿En qué jurisdicción está el proveedor? Sí, esto aún importa — pero como factor secundario, después de que se establezca el registro de logs.
Realidad país por país
Las jurisdicciones notables de proveedores de VPN y lo que realmente significan:
Estados Unidos (Wyoming, Delaware, etc.). Miembro Five Eyes. NSL y órdenes de la corte FISA existen. La mitigación es estructura sin logs más pago en cripto más recolección mínima de datos de cuenta. Fexyn está aquí. También IPVanish, PIA (después de la adquisición por Kape Technologies complica las cosas). El caso honesto: un proveedor sin logs domiciliado en EE. UU. es significativamente seguro para modelos de amenaza típicos; para usuarios específicamente modelando agencias de inteligencia de EE. UU. como amenaza, un proveedor no-EE. UU. es una elección razonable.
Reino Unido. Miembro Five Eyes. La Ley de Poderes de Investigación da poderes más amplios que el marco de EE. UU., incluyendo autorizaciones de intercepción masiva. Pocas VPN comerciales importantes están domiciliadas en el Reino Unido por esta razón. La matriz de Hide.me está afiliada al Reino Unido; eVenture tiene presencia en el Reino Unido.
Islas Vírgenes Británicas (BVI). ExpressVPN está incorporado aquí. BVI es un territorio de ultramar del Reino Unido pero opera bajo su propio marco legal. ExpressVPN ahora es propiedad de Kape Technologies (matriz basada en el Reino Unido). El argumento "BVI es offshore por lo tanto seguro" se ha debilitado post-adquisición.
Suiza. El hogar de ProtonVPN. La ley suiza tiene fuertes protecciones de privacidad; la asistencia legal mutua con agencias extranjeras está más restringida que en EE. UU./Reino Unido. Sin embargo, Suiza coopera con la inteligencia occidental en casos de contraterrorismo. El marco "Suiza = paraíso de privacidad" simplifica demasiado.
Suecia. El hogar de Mullvad. Ley de privacidad fuerte; los requisitos de retención de datos han sido anulados por las cortes de la UE. La postura sin logs de Mullvad está entre las más fuertes de la industria.
Rumania. El hogar de CyberGhost. Marco de privacidad fuerte para proveedores de VPN. Rumania ha resistido los empujes de retención de datos de la UE. Múltiples proveedores enfocados en privacidad eligieron Rumania por esta razón.
Panamá. El hogar de NordVPN (aunque la estructura de empresa matriz es compleja — Tesonet/Nord Security en Lituania). Panamá no tiene ley obligatoria de retención de datos para proveedores de VPN. La estructura corporativa complica el marco simple "Panamá = bueno".
Chipre, Gibraltar, Seychelles. Varios proveedores de VPN más pequeños eligieron estos por marcos permisivos. La realidad varía por proveedor específico.
Rusia. La Ley Federal 276-FZ (2017) requiere que los proveedores de VPN sirviendo a usuarios rusos cooperen con Roskomnadzor. Las VPN domiciliadas en Rusia son vehículos de vigilancia por diseño.
China. No hay industria legítima de VPN no estatal. Los proveedores extranjeros de VPN operan sin licencias y están sujetos al bloqueo del GFW.
América Latina. Pocos proveedores de VPN comerciales importantes están domiciliados en LatAm. Los marcos de privacidad varían: Brasil tiene LGPD, México tiene LFPDPPP, Argentina tiene la Ley 25.326. Ninguna jurisdicción LatAm es miembro de Five/Nine/Fourteen Eyes formalmente, pero varios países cooperan ad-hoc con inteligencia estadounidense (México notablemente). Por lo tanto, escoger un proveedor "porque no es Five Eyes" no garantiza inmunidad si el proveedor opera desde una jurisdicción que coopera informalmente.
Dónde se sitúa Fexyn
Wyoming, EE. UU. Five Eyes. Somos honestos sobre esto.
Las mitigaciones estructurales:
- Operación sin logs. Sin historial de navegación. Sin logs de consulta DNS. Sin logs de contenido de tráfico. Sin metadatos de conexión por sesión que podrían identificar la sesión específica de un usuario específico.
- Certificados de cliente de corta duración (24 horas) rotados a través de PKI Vault. Limita la correlación retroactiva.
- Facturación solo en cripto como opción para usuarios que quieren un mínimo vínculo entre rastro de pago y cuenta. Para usuarios LatAm sin tarjetas internacionales, esta es una opción práctica además de una elección de privacidad.
- Kill switch a nivel de kernel basado en WFP para que el tráfico no se filtre alrededor del túnel durante caídas de conexión.
- VLESS Reality con Vision flow para usuarios en mercados donde los protocolos estándar están bloqueados.
Lo que aún no hemos hecho:
- Auditoría independiente de tercero de la afirmación sin logs. Planeada para 2026. Reconocemos la brecha.
- Servidores solo bare-metal. Algunos proveedores (Mullvad) operan exclusivamente en hardware bare-metal propio. Usamos una mezcla de bare-metal y proveedores de nube bien revisados.
- Clientes de código abierto. Nuestro servicio helper es de código abierto (Rust); el cliente de escritorio es propietario. Algunos usuarios prefieren clientes totalmente de código abierto. Mullvad e IVPN son más fuertes aquí.
Para usuarios cuyo modelo de amenazas es "quiero que mi ISP no vea mi navegación": Fexyn es suficiente. Para usuarios cuyo modelo de amenazas es "no confío en el gobierno de EE. UU. y necesito un proveedor no-Five-Eyes": ProtonVPN (Suiza) o Mullvad (Suecia) son elecciones razonables y los recomendaríamos sobre nosotros en ese escenario específico.
Qué te compra realmente "no Five-Eyes"
El argumento de marketing es que un proveedor no-Five-Eyes es fundamentalmente más seguro. La realidad es más matizada:
- Un proveedor no-Five-Eyes con logs detallados es menos seguro que un proveedor Five-Eyes con genuinamente sin logs. El registro de logs importa más que la jurisdicción.
- Un proveedor no-Five-Eyes con operación sin logs auditada fuerte SÍ es más resistente a ciertos ataques específicos de coerción. Suiza o Suecia están más restringidas en entregar datos que EE. UU. o el Reino Unido.
- Para la mayoría de los usuarios en la mayoría de los modelos de amenaza, la diferencia es teórica. La probabilidad de que tus datos específicos de navegación terminen en un acuerdo de compartición de inteligencia por la jurisdicción de tu proveedor de VPN es baja; la probabilidad de que tu ISP o un data broker tenga esos datos es mucho más alta.
El marco honesto: la jurisdicción es un factor entre cinco (logs, auditorías, pago, infraestructura, jurisdicción). Tratarla como el factor primario es la versión de marketing, no la versión analítica.
Cuándo importa realmente la jurisdicción
Para usuarios donde la jurisdicción es genuinamente el factor más importante:
- Periodistas trabajando en contextos críticos de protección de fuentes. Suiza o Suecia, con sin-logs verificado y pago en cripto.
- Activistas en países con relaciones de extradición a tu país de origen. Evita la jurisdicción de tu país de origen; considera jurisdicciones sin tratado.
- Usuarios específicamente modelando agencias de inteligencia como adversarios. No-Five-Eyes más opciones de salida auto-alojadas más seguridad operacional más allá de lo que cualquier VPN comercial provee.
Para todos los demás — privacidad de rastreo del ISP, evasión geográfica, protección de Wi-Fi público, evasión de censura — las preguntas de logs y pago son más cargadas que la bandera del país en los papeles de incorporación del proveedor.
Preguntas frecuentes
¿EE. UU. es un país Five Eyes?
Sí. EE. UU. es el miembro fundador de la alianza Five Eyes original.
¿NordVPN y ExpressVPN son seguros dadas sus jurisdicciones?
NordVPN está en Panamá (matriz en Lituania); no Five Eyes. ExpressVPN está en BVI (matriz en el Reino Unido, Kape Technologies). Ambos han sido auditados múltiples veces. Las preocupaciones basadas en jurisdicción son reales pero no por sí mismas hacen los productos inseguros; la estructura sin logs auditada es la consideración más importante.
¿Debo evitar Fexyn por la jurisdicción de EE. UU.?
Depende de tu modelo de amenazas. Para uso típico de privacidad-de-ISP, Fexyn es apropiado. Para usuarios que específicamente modelan agencias de inteligencia de EE. UU. como amenaza, ProtonVPN o Mullvad son mejores elecciones y los recomendamos sobre nosotros en ese escenario específico.
¿Y la jurisdicción suiza de ProtonVPN?
Suiza tiene ley de privacidad fuerte y asistencia mutua limitada con servicios de inteligencia extranjeros. ProtonVPN tiene múltiples auditorías independientes. Para usuarios que quieren no-Five-Eyes más sin logs auditado, ProtonVPN es una de las elecciones más fuertes disponibles.
¿Dónde encajan los warrant canaries?
Algunos proveedores (notablemente IVPN) mantienen warrant canaries — declaraciones periódicas de que no han recibido órdenes legales secretas. La efectividad legal está debatida; el valor simbólico es real. Fexyn actualmente no mantiene un warrant canary; estamos evaluando.
Prueba Fexyn gratis 7 días — Domiciliado en Wyoming, EE. UU. con estructura sin logs, pago en cripto disponible, kill switch a nivel de kernel. La entrada de política sin logs cubre lo que sin logs realmente significa; Cómo elegir una VPN cubre la decisión de compra más amplia honestamente.
Última revisión 2026-05-09.