La Europol, junto a la Eurojust (Agencia de la Unión Europea para la Cooperación Judicial Penal ) y a varias autoridades europeas han desmantelado First VPN. Según los investigadores, la desmantelación responde a que este servicio de VPN que realmente no estaba orientado a usuarios normales que querían esquivar los bloqueos de internet de LALIGA y Tebas. Y es que se habla más de que la VPN servía como una infraestructura de anonimización pensada para ciberdelincuentes.
La operación, bautizada como Operation Saffron, se ejecutó entre el 19 y el 20 de mayo de 2026 y terminó con el apagado de la plataforma, la incautación de dominios y el desmontaje de los servidores repartidos por múltiples países. Según los informes del caso, First VPN aparecía en prácticamente todas las grandes investigaciones de cibercrimen apoyadas por la agencia en los últimos años. La VPN se promocionaba en foros rusoparlantes de ciberdelincuencia como una forma de permanecer fuera del alcance de las autoridades, ofreciendo pagos anónimos, infraestructura oculta y una garantía de no cooperación judicial.
Durante el operativo se desmontaron 33 servidores asociados a First VPN, ubicados en 27 países, y se incautaron dominios como 1vpns.com, 1vpns.net, 1vpns.org y dominios relacionados en la red Tor. Además, todos los usuarios identificados recibieron un aviso indicando que el servicio había sido desconectado y que habían sido identificados como usuarios de la plataforma.
Para tener un contexto, una VPN normal puede servir para proteger la conexión en redes WiFi públicas, trabajar de forma remota, acceder a contenido bloqueado regionalmente o mejorar la privacidad. First VPN, según las autoridades, iba mucho más allá: se anunciaba en foros criminales, decía no estar sujeto a ninguna jurisdicción, prometía no cooperar con la justicia y ofrecía ocultación de infraestructura para actividades ilegales. Por eso las autoridades la tratan como parte de la cadena de suministro del cibercrimen, no como un proveedor VPN convencional.
El golpe también ha generado material para investigaciones futuras. Europol habría distribuido 83 paquetes de inteligencia y compartido información vinculada a 506 usuarios entre jurisdicciones participantes. Además, la inteligencia obtenida permitió avanzar en 21 investigaciones apoyadas por Europol. Esto no significa necesariamente que todos los usuarios identificados sean condenados o procesados. Ahora bien, las autoridades han obtenido datos operativos suficientes para cruzarlos con casos de ransomware, fraude y robo de información. Varias fuentes mencionan que First VPN habría tenido más de 5.000 cuentas desde su actividad inicial. El dato operativo confirmado es el de 506 usuarios cuya información fue compartida.
Este tipo de operaciones abre un debate sobre hasta dónde deben llegar las autoridades al perseguir infraestructuras de anonimato. En este caso concreto, el perfil criminal de First VPN era bastante claro por su publicidad. También con las promesas de no cooperación judicial y su presencia recurrente en investigaciones de ransomware. Una cosa es cerrar una VPN diseñada para delincuentes y otra muy distinta es presionar a servicios legítimos de privacidad que no registran datos por diseño. Esto es precisamente lo que está comenzando a pasar con las VPN en Europa. En resumen. Las VPN son un problema, pues permite que los menores de edad se salten las restricciones para acceder a redes sociales.
elchapuzasinformatico.com
La operación, bautizada como Operation Saffron, se ejecutó entre el 19 y el 20 de mayo de 2026 y terminó con el apagado de la plataforma, la incautación de dominios y el desmontaje de los servidores repartidos por múltiples países. Según los informes del caso, First VPN aparecía en prácticamente todas las grandes investigaciones de cibercrimen apoyadas por la agencia en los últimos años. La VPN se promocionaba en foros rusoparlantes de ciberdelincuencia como una forma de permanecer fuera del alcance de las autoridades, ofreciendo pagos anónimos, infraestructura oculta y una garantía de no cooperación judicial.
First VPN cae tras una operación liderada por Francia y Países Bajos, con apoyo de la Europol y Eurojust
Las autoridades neerlandesas explican que antes de apagar el servicio ya habían conseguido acceso al tráfico criminal de los usuarios, los cuales creían estar protegidos. En otras palabras, el golpe no se limitó a cerrar servidores: también permitió obtener inteligencia sobre conexiones, usuarios y operaciones vinculadas a ransomware, fraude, robo de datos y ataques contra sistemas informáticos.Durante el operativo se desmontaron 33 servidores asociados a First VPN, ubicados en 27 países, y se incautaron dominios como 1vpns.com, 1vpns.net, 1vpns.org y dominios relacionados en la red Tor. Además, todos los usuarios identificados recibieron un aviso indicando que el servicio había sido desconectado y que habían sido identificados como usuarios de la plataforma.
Para tener un contexto, una VPN normal puede servir para proteger la conexión en redes WiFi públicas, trabajar de forma remota, acceder a contenido bloqueado regionalmente o mejorar la privacidad. First VPN, según las autoridades, iba mucho más allá: se anunciaba en foros criminales, decía no estar sujeto a ninguna jurisdicción, prometía no cooperar con la justicia y ofrecía ocultación de infraestructura para actividades ilegales. Por eso las autoridades la tratan como parte de la cadena de suministro del cibercrimen, no como un proveedor VPN convencional.
Las investigaciones se habían iniciado en el 2021
Según el informe, la investigación arrancó oficialmente en diciembre de 2021. Esta arrancó después de que las autoridades detectaran que esta VPN se utilizaba repetidamente en delitos que afectaban a víctimas francesas. En noviembre de 2023 se creó un equipo conjunto de investigación entre Francia y Países Bajos, bajo coordinación judicial de la Eurojust. Bitdefender, que colaboró con Europol, indica que participaron 18 países. Entre ellos está España, Estados Unidos, Reino Unido, Alemania, Francia, Países Bajos, Ucrania, Suiza, Canadá y varios países europeos.El golpe también ha generado material para investigaciones futuras. Europol habría distribuido 83 paquetes de inteligencia y compartido información vinculada a 506 usuarios entre jurisdicciones participantes. Además, la inteligencia obtenida permitió avanzar en 21 investigaciones apoyadas por Europol. Esto no significa necesariamente que todos los usuarios identificados sean condenados o procesados. Ahora bien, las autoridades han obtenido datos operativos suficientes para cruzarlos con casos de ransomware, fraude y robo de información. Varias fuentes mencionan que First VPN habría tenido más de 5.000 cuentas desde su actividad inicial. El dato operativo confirmado es el de 506 usuarios cuya información fue compartida.
Este tipo de operaciones abre un debate sobre hasta dónde deben llegar las autoridades al perseguir infraestructuras de anonimato. En este caso concreto, el perfil criminal de First VPN era bastante claro por su publicidad. También con las promesas de no cooperación judicial y su presencia recurrente en investigaciones de ransomware. Una cosa es cerrar una VPN diseñada para delincuentes y otra muy distinta es presionar a servicios legítimos de privacidad que no registran datos por diseño. Esto es precisamente lo que está comenzando a pasar con las VPN en Europa. En resumen. Las VPN son un problema, pues permite que los menores de edad se salten las restricciones para acceder a redes sociales.
La Europol desmantela First VPN: el VPN que ofrecía "demasiada privacidad"
La Europol y Eurojust desmantela First VPN, una VPN orientada específicamente para ciberdelincuentes de todo el mundo.
elchapuzasinformatico.com
