First VPN (1VPNS) ha sido desmantelada. Europol y Eurojust, coordinando a fuerzas policiales de 16 países entre los que figuran Francia, Países Bajos, Ucrania, Reino Unido, Canadá, Alemania y Estados Unidos, ejecutaron la Operación Saffron entre el 19 y el 20 de mayo de 2026: 33 servidores incautados, dominios principales cerrados (1vpns.com, 1vpns.net, 1vpns.org y dominios .onion asociados), y el administrador del servicio arrestado y entrevistado en Ucrania tras un registro domiciliario. Lo comunica Europol en su nota de prensa del 21 de mayo de 2026. Pero la parte más significativa del operativo no es el cierre del servicio: es lo que vino con él. Antes de cerrar First VPN, las autoridades obtuvieron acceso a su base de datos de usuarios e identificaron miles de conexiones vinculadas al ecosistema del cibercrimen. Los usuarios han sido notificados del cierre e informados de que han sido identificados. Autoridades de 16 países recibieron 83 paquetes de inteligencia sobre 506 usuarios, y la operación ha generado leads para 21 investigaciones adicionales en curso a nivel global.
Qué era First VPN y por qué era diferente de una VPN normal
Una VPN comercial para el mercado de consumo (NordVPN, ExpressVPN, Mullvad) existe para proteger la privacidad de usuarios legítimos en redes públicas o para evitar restricciones geográficas de contenido. First VPN era algo distinto: un servicio comercializado explícitamente en foros de cibercrimen de habla rusa como un entorno seguro para ejecutar actividades ilegales.
Las promesas que hacía eran las de un proveedor orientado al crimen organizado: pagos anónimos, infraestructura oculta, ausencia de registros de actividad y compromiso explícito de no cooperar con autoridades. El precio era bajo comparado con el valor que ofrecía a los criminales: anonimidad operativa durante ataques de ransomware, fraudes o campañas de robo de datos.
Según Europol, First VPN aparecía en casi todas las grandes investigaciones de cibercrimen que la agencia ha apoyado en años recientes. La severidad de esa afirmación no debe subestimarse: estamos hablando del proveedor de infraestructura de anonimato de una parte sustancial del ecosistema del cibercrimen europeo y global. Entre las bandas vinculadas al servicio figura el grupo Phobos RaaS (Ransomware-as-a-Service), uno de los actores más activos en ataques a infraestructura crítica.
No es la primera vez que Europol cierra un servicio de este tipo. En enero de 2022, la operación contra VPNLab.net incautó 15 servidores y desmanteló otro proveedor VPN utilizado masivamente por distribuidores de malware y grupos de ransomware. El patrón se repite: VPNs criminales que prometen anonimidad absoluta, operan durante años, y finalmente caen cuando la investigación consigue acceso a la infraestructura.
Lo que hace diferente a esta operación: la base de datos de usuarios
En operaciones anteriores contra VPNs criminales, el cierre del servicio era el resultado final. En la Operación Saffron, el cierre es casi secundario. Lo que importa es que, antes de apagar First VPN, los investigadores obtuvieron acceso a los registros de tráfico y la base de datos de usuarios.
Eso significa que hay miles de personas —cibercriminales activos— cuyos datos de conexión y actividad están ahora en manos de autoridades de 16 países. La notificación enviada a los usuarios («has sido identificado») es tanto una advertencia como una táctica de presión: muchos de esos usuarios pueden cooperar proactivamente con las investigaciones antes de que lleguen las citaciones formales.
La investigación se inició formalmente en diciembre de 2021, con Francia y los Países Bajos como países principales. Cuatro años de trabajo para acceder a la infraestructura antes de apagarlo; la paciencia de la operación es su mayor activo. Las pruebas recopiladas ya se están usando para apoyar 21 investigaciones activas en múltiples jurisdicciones, incluyendo casos de ransomware y fraude financiero.
El ransomware lleva años adaptándose para esquivar los esfuerzos de las fuerzas del orden: cuando una banda desaparece, otra toma su lugar. Pero el derribo de la infraestructura de anonimato que las conecta a todas —en lugar de atacar un grupo concreto— es una estrategia de mayor alcance. Si los actores del ransomware no confían en sus herramientas de anonimato, el coste operativo de sus ataques sube.
Mi valoración
La Operación Saffron es la mejor noticia en ciberseguridad de 2026 hasta ahora, y no porque haya cerrado un servicio de VPN criminal. Es porque demuestra que las investigaciones de largo plazo que priorizan acceder a la infraestructura antes de apagarla producen resultados exponencialmente más valiosos que las operaciones de tipo «cierra-y-anuncia». Cuatro años de trabajo para obtener la base de datos de usuarios es cuatro años bien invertidos.
Lo que más me convence de la operación es la coordinación: 16 países, Europol, Eurojust, la detención en Ucrania durante el conflicto activo, todo en una ventana de 24-48 horas. Eso requiere una preparación logística impresionante. Lo que me genera dudas es la sostenibilidad: First VPN fue un éxito, pero la demanda de infraestructura de anonimato del crimen organizado no desaparece. En semanas habrá servicios sustitutos disponibles en los mismos foros de habla rusa.
Preguntas frecuentes
¿Qué es la Operación Saffron?
El nombre del operativo coordinado por Europol y Eurojust que resultó en el cierre de First VPN entre el 19 y 20 de mayo de 2026. Involucró a fuerzas policiales de 16 países, incautó 33 servidores y resultó en el arresto del administrador en Ucrania.
¿Puede un usuario legítimo de First VPN estar en problemas?
First VPN se anunciaba exclusivamente en foros de cibercrimen como un servicio para actividades ilegales. No era una VPN para el mercado de consumo general. Si tenías una cuenta, las autoridades la están investigando.
¿Qué VPN legítimas puedo usar?
Servicios como NordVPN, Mullvad o ProtonVPN están diseñados para privacidad de usuarios legítimos, tienen políticas de no registros verificadas por auditorías independientes y cooperan con las autoridades en casos legales debidamente fundamentados. Son categóricamente diferentes de First VPN.