registros ipvanish


El popular servicio VPN "sin registros" IPVanish parece estar envuelto en un escándalo de registro por el cual registros de usuario fueron proporcionado a las autoridades quienes estaban investigando un caso criminal. Si bien aquí nadie defiende las acciones de los delincuentes, es importante reconocer cuando un servicio VPN no cumple con su política de "registros cero" y su compromiso con la privacidad del cliente.

Este es otro caso en el que los reclamos de "sin registros" de un servicio de VPN no resistieron las acciones de la policía. IPVanish ahora se une a los gustos de PureVPN, HideMyAss y EarthVPN, que han proporcionado registros a las autoridades en varios casos penales: vea que las VPN mienten sobre los registros para una discusión de estos casos.

Los hechos del caso de registro IPVanish

Antes de saltar a los hechos del caso, es importante tener en cuenta que:

  • IPVanish es un Servicio VPN con sede en EE. UU. (Cinco ojos)
  • Autoridades estadounidenses (Departamento de Seguridad Nacional) estaban apuntando a un Residente de los Estados Unidos (estado de Indiana)
  • IPVanish ha afirmado tener un "política estricta de registros cero"Durante muchos años (ejemplo aquí)

Este caso específico involucró abuso infantil y pornografía con agentes del Departamento de Seguridad Nacional de los Estados Unidos que investigan a un usuario de IPVanish en 2016.

La declaración jurada completa incluye descripciones gráficas del material enviado por "usuario sospechoso" al agente de DHS. Puede encontrar la declaración jurada penal aquí (también archivada aquí). Sin embargo, solo incluiremos las secciones relevantes a continuación relacionadas con IPVanish y sus prácticas de registro.

De la página 23 (22 de 28) de la declaración jurada:

registros penales ipvanish

Como puede ver arriba, el Departamento de Seguridad Nacional entregó un "citación para registros" a Highwinds Network Group - el empresa matriz de IPVanish. Según estos registros, las autoridades no utilizaron una citación, orden de allanamiento o una "carta de seguridad nacional" con una orden de mordaza. Esto fue simplemente una citación para información del usuario.

Aproximadamente dos semanas después, el 26 de mayo de 2016, IPVanish respondió a la convocatoria esencialmente afirmando que no tienen datos de usuario disponibles porque "no registran ninguna información de uso".

Sin embargo, después de que el investigador dio seguimiento a la solicitud, Highwinds Network Group (IPVanish) le dijo a las autoridades que "enviar una segunda citación solicitando información del suscriptor más detallada en la naturaleza."

El 9 de junio de 2016, el investigador presentó otra solicitud a IPVanish para "cualquier dato asociado con el tráfico de IRC utilizando IP 209.197.26.72, puerto 6667". Doce días después, IPVanish proporcionó los siguientes registros de datos sobre el usuario sospechoso ante las autoridades del DHS:

caso de registro ipvanish

Según la declaración jurada, IPVanish también proporcionó a las autoridades del DHS los siguientes datos de usuario:

  • dirección IP de origen del usuario sospechoso (50.178.206.161)
  • fechas y horas que el usuario sospechoso se conectó y desconectó de la red IRC

La segunda viñeta es importante para este caso porque demuestra que IPVanish está (o estaba) manteniendo registros detallados de la actividad del usuario, lo que claramente contradice la "política de registro cero" que afirman tener.

Después de obtener los registros de conexión y uso de la empresa matriz de IPVanish, Highwinds Network Group, las autoridades del DHS pudieron identificar fácilmente al usuario a través de su dirección IP y ubicación de Comcast en Muncie, Indiana. Comcast luego proporcionó información adicional sobre el usuario sospechoso a las autoridades, quienes luego presentaron una orden de allanamiento federal sobre Vincent Gevirtz y su residencia en Muncie, Indiana.

Política de registro de IPVanish

IPVanish tiene una larga historia de reclamar ser un proveedor de VPN "cero registros".

Con la máquina WayBack podemos ver la política de privacidad de IPVanish tanto antes del incidente (abril de 2016) como justo después del incidente (agosto de 2016). Durante este incidente y en ambas políticas de privacidad, puede ver que IPVanish estaba haciendo el siguiente reclamo:

"IPVanish no recopila ni registra ningún tráfico o uso de su servicio de red privada virtual".

Incluso puede ver en su página de inicio desde junio de 2016, exactamente cuando se desarrollaba este caso, que IPVanish afirmaba tener una "política estricta de cero registros":

ipvanish registra el caso de datos del clienteUn extracto de la página de inicio de IPVanish en junio de 2016.

También es interesante notar que IPVanish utiliza la misma redacción de "política estricta de cero registros" en su página de inicio hoy.

El CEO de IPVanish responde en reddit

Después de que este caso llegara a r / piracy subreddit, un usuario con el nombre de "lavosby"- afirmando ser el CEO de IPVanish - emitió la siguiente respuesta:

respuesta de registro de ipvanish ceo

Más adelante en el mismo hilo, el usuario "lavosby" explicó que IPVanish era adquirido el 2 de febrero de 2017 por Stackpath. De hecho, encontré esta publicación de blog que verifica cómo Highwinds fue adquirida por Stackpath en 2017. Ahora parece que tanto Highwinds como IPVanish están operando bajo Stackpath.

Al explicar estos eventos de registro, lavosby declaró:

"Solo podemos suponer, esta fue una orden dirigida por una sola vez por parte de las autoridades".

Por supuesto, hay no hay forma de verificar si esto fuera cierto o si IPVanish es realmente un servicio VPN "sin registros" hoy.

Sin embargo, lo que podemos verificar es que IPVanish afirmaba tener una "política estricta de cero registros" en el momento exacto en que estaban registrando los datos de los usuarios y entregándolos a las autoridades estadounidenses..

Después de solicitar una respuesta de IPVanish, proporcionaron Restore Privacy con esta declaración:

Ese caso judicial fue de 2016, mucho antes de que StackPath adquiriera IPVanish en 2017. IPVanish no registra, registra ni almacena registros de nuestros usuarios como una empresa StackPath. No podemos hablar de lo que sucedió bajo la supervisión de otra persona, y ese equipo de administración se fue hace mucho tiempo. Además de no iniciar sesión, StackPath defenderá la privacidad de nuestros usuarios, independientemente de quién exija lo contrario..

En quién puedes confiar?

Este caso una vez más ilustra el problema fundamental al elegir un servicio VPN: confiar.

Desafortunadamente, ha habido algunos casos diferentes en los que se descubrió que las VPN violan flagrantemente sus reclamos de "no registro" al proporcionar datos de clientes a las autoridades. Entonces, ¿puedes confiar en cualquier servicio VPN??

Bueno, también ha habido algunas VPN que han tenido su registro de reclamos verificado por causas penales Aquí hay tres breves ejemplos de estos casos:

  1. En 2016, el acceso privado a Internet (con sede en los EE. UU.) Hizo que se probaran sus reclamos de "no registros" en un caso del FBI que involucraba una amenaza de bomba falsa. PIA declaró públicamente ante el tribunal que no tenían ningún registro que pudieran proporcionar para la investigación.
  2. En 2017, Perfect Privacy (con sede en Suiza) tenía dos. Gracias a que no hay registros y a todos los servidores que funcionan en modo de disco RAM, no se vieron afectados los datos del cliente. (La razón exacta de la incautación del servidor no ha sido revelada públicamente por las autoridades holandesas).
  3. En 2017, ExpressVPN (con sede en las Islas Vírgenes Británicas) había incautado servidores en Turquía. Las autoridades no pudieron obtener ningún dato de usuario. ExpressVPN también emitió una declaración pública explicando que no pueden proporcionar ningún dato a las autoridades debido a su política de no registros.

Estos casos también ilustran la importancia de elegir un VPN en una buena jurisdicción de privacidad (fuera de los países 5 Eyes y 14 Eyes). Después de todo, las autoridades de EE. UU. Tienen la capacidad de obligar a cualquier empresa a registrar los datos de los usuarios y, al mismo tiempo, golpearlos con una orden de mordaza para prohibir cualquier tipo de divulgación.

Como puede ver en la declaración jurada anterior, las autoridades estadounidenses continuaron presionando a IPVanish hasta que acordaron entregar los datos de los usuarios. Las autoridades estadounidenses también han tenido éxito en la obtención de datos de proveedores de VPN extranjeros, como se ve en el caso de PureVPN.

Comentarios finales

El objetivo de este artículo es resaltar los hechos que rodean este caso de registro de IPVanish e ilustrar algunos de los problemas con los reclamos de "no registros" en la industria VPN.

Tenga en cuenta que este artículo no defiende ni justifica al sospechoso en el corazón de este caso de registro de IPVanish. Como padre, estoy muy agradecido con las autoridades que investigan y procesan a este tipo de delincuentes. Pero como entusiasta de la privacidad, también me preocupa que las VPN engañen a las personas cuando se trata de prácticas de registro y protección de datos..

Este artículo se actualizará a medida que haya más información disponible..

Actualizado el 6 de junio de 2018 con declaración oficial de IPVanish.

James Rivington Administrator
Sorry! The Author has not filled his profile.
follow me