El proveedor de VPN Mullvad dice que la policía sueca le entregó una orden de allanamiento exigiendo que la empresa entregara los servidores que contenían registros de datos de usuarios. ¿El único problema? Mullvad no recopila dichos registros.
El jueves, la compañía publicó una entrada de blog sobre el incidente, diciendo que dos días antes, el 18 de abril, oficiales del Departamento Nacional de Operaciones, la principal fuerza policial de Suecia, visitaron la sede del proveedor de VPN con la intención de «incautar computadoras con datos de clientes». Mullvad dice que los policías se fueron con las manos vacías:
La policía sueca… tenía la intención de incautar computadoras con datos de clientes. En línea con nuestro políticas tales datos de clientes no existían. Argumentamos que no tenían motivos para esperar encontrar lo que buscaban y, por lo tanto, cualquier incautación sería ilegal según la ley sueca. Después de demostrar que así funciona nuestro servicio y consultar al fiscal se fueron sin llevarse nada y sin información del cliente.
La cuestión de si las empresas de VPN recopilan y almacenan registros de datos de usuarios es un gran problema para la industria. El objetivo de una VPN es que se supone que debe proteger su privacidad, y eso significa la capacidad de enrutar su tráfico web a través de los servidores de un proveedor sin que la empresa recopile datos que luego pueden ser entregados a la policía o vendidos a un tercero. Casi todas las empresas juran que no recopilan registros, y que nunca lo harían. Sin embargo, los incidentes que involucran a la policía han revelado varias veces que las empresas tener estado recopilando información sin el conocimiento de sus usuarios o que han recopilado información sobre un usuario específico a instancias de la policía.
Eso es lo que sucedió en el caso de un proveedor llamado PureVPN en 2017. El Departamento de Justicia de EE. UU. arrestó a un ciberacosador acusado de actividades despreciables por parte de tomando registros de direcciones IP que había sido recopilada por el proveedor de privacidad. Arrestar a un acosador cibernético es algo bueno, pero lo que reveló el arresto fue que PureVPN había estado guardando información que muchos usuarios pensaban que era privada. (Cabe señalar que, desde entonces, PureVPN se ha comprometido a una política de «cero registros»y dice que usa auditorías independientes para verificar este compromiso).
Obviamente, hay algunas personas bastante malas por ahí y claramente hay momentos en que los policías realmente necesita acceso a la actividad web de una persona. Desafortunadamente, las empresas que recopilan registros de usuarios derrotan todo el punto de una VPN. El punto es que nadie tiene acceso a tus datos excepto tú.
Gizmodo se comunicó con el Departamento Nacional de Operaciones de Suecia para preguntar sobre el incidente que involucró a Mullvad y actualizará esta historia si recibimos una respuesta.