¿Qué son realmente los 5 Eyes, 9 Eyes y 14 Eyes?

Los 5 Eyes (FVEY) son la alianza histórica de intercambio de inteligencia de señales nacida del acuerdo UKUSA de 1946: Estados Unidos, Reino Unido, Canadá, Australia, Nueva Zelanda. Los 9 Eyes extienden este intercambio a Dinamarca, Francia, Países Bajos y Noruega. Los 14 Eyes (grupo SIGINT Seniors Europe) añaden Alemania, Bélgica, Italia, España, Suecia. Estos niveles son graduados: un miembro 5 Eyes puede acceder a inteligencia bruta que un 14 Eyes solo verá sintetizada.

Si mi cloud está alojado en Francia, ¿quién puede acceder a mis datos?

Francia forma parte de los 9 Eyes. Concretamente, la DGSE puede requerir acceso a datos bajo la ley de Inteligencia de 2015 (art. L.851 y siguientes del CSI) y comparte con los otros 9 Eyes según acuerdos bilaterales. Un cloud como OVHcloud, alojado en Francia, permanece por tanto en el perímetro 9 Eyes. Para escapar de los 14 Eyes: jurisdicción fuera de alianza — Suiza, Islandia, Panamá, Rumanía, o cloud self-hosted en Svalbard.

¿El CLOUD Act estadounidense se aplica a un cloud europeo?

Sí si se trata de una filial u operador cuya empresa matriz es estadounidense. Microsoft Azure, AWS, Google Cloud siguen sujetos al CLOUD Act (2018) incluso para datos físicamente almacenados en Europa — un mandato judicial estadounidense puede obligar a la matriz a entregar los datos. La CJUE invalidó Privacy Shield en 2020 (sentencia Schrems II) precisamente por este conflicto de jurisdicciones. Por eso Proton (Suiza), Tresorit (Suiza) y Mailfence (Bélgica) comunican agresivamente sobre su jurisdicción no estadounidense.

¿Está Suiza realmente fuera de los 14 Eyes?

Sí. Suiza nunca firmó el acuerdo UKUSA ni los protocolos SIGINT Seniors Europe. La Ley Federal de Inteligencia (LRens, 2017) autoriza el intercambio internacional pero bajo control de un tribunal administrativo federal independiente, con umbral elevado. En la práctica, Proton Mail y Tresorit publican informes de transparencia anuales (Proton 2024: 4.920 solicitudes estatales recibidas, 2.105 parcialmente satisfechas, 0 entregas de contenido cifrado) que demuestran el aislamiento operativo. Suiza sigue siendo la jurisdicción de referencia para cloud privacy en 2026.

¿Es realmente segura Islandia para alojar un cloud?

Sí, por razones legales y geográficas. Islandia adoptó la Iniciativa Islandesa para los Medios Modernos (IMMI) en 2010 — un marco legal que protege a denunciantes y periodistas. Combinada con la ausencia de alianza SIGINT formal y una infraestructura geotérmica que atrae datacenters, Islandia aloja proveedores como 1984 Hosting y OrangeWebsite. Límites: existe cooperación informal con los 5 Eyes vía OTAN, y el mercado es estrecho (pocas ofertas para consumidor). Para uso personal, Suiza > Islandia > Panamá en este orden.

Si self-hosteo mi cloud, ¿estoy fuera de jurisdicción?

Reduces el ángulo de ataque pero no lo eliminas. Self-hostear Nextcloud en un VPS Hetzner (Alemania, 14 Eyes) u OVH (Francia, 9 Eyes) te coloca en la jurisdicción del proveedor VPS. Para realmente salir de los 14 Eyes: VPS en 1984 Hosting (Islandia), Njalla (Nevis), o Buyshared (Bulgaria fuera de 14 Eyes). Pero self-hostear también implica responsabilidad total sobre la seguridad (actualizaciones, certificados TLS, copias de seguridad) — un Nextcloud no mantenido durante 6 meses se convierte en una puerta abierta independientemente de su jurisdicción.

5/9/14 Eyes y tu cloud privacy: el mapa mundial real de la vigilancia (2026)

Lo esencial

Las alianzas de inteligencia de señales (SIGINT) 5 Eyes, 9 Eyes y 14 Eyes no son ni un mito conspiranoico ni un secreto de Estado: están documentadas por filtraciones mayores (Snowden 2013, Vault 7 en 2017) y confirmadas por declaraciones oficiales de varios gobiernos signatarios. En 2026, su impacto sobre el cloud privacy sigue siendo masivo — no porque permitan una vigilancia masiva directa, sino porque determinan qué Estado puede legalmente obligar a un cloud provider a entregar datos cifrados.

La pregunta para un usuario cloud privacy no es por tanto "¿existen estas alianzas?" (sí), ni "¿puedo ser espiado personalmente?" (estadísticamente no si no eres un objetivo específico), sino: "si mi proveedor recibe mañana una solicitud legal, qué derecho se aplica y cuántos Estados pueden tener acceso vía intercambio de inteligencia?" Esa es la lógica que desarrollamos aquí, jurisdicción por jurisdicción.

De los 12 proveedores cloud privacy que cartografiamos en mayo 2026, 9 están alojados o registrados en países 14 Eyes o aliados, y solo 3 — Proton Drive, Tresorit y pCloud (Suiza) — se benefician de una verdadera protección jurisdiccional fuera de los 14 Eyes. A esto se añaden algunos nichos: 1984 Hosting (Islandia), Njalla (Nevis), Internxt (España 14 Eyes pero infraestructura descentralizada).

De dónde vienen estas alianzas y por qué oíste hablar de ellas en 2013

El núcleo de los 5 Eyes (FVEY) se remonta al acuerdo UKUSA de 1946, firmado entre Estados Unidos y Reino Unido al final de la Segunda Guerra Mundial para seguir compartiendo inteligencia interceptada contra la URSS. Canadá se unió en 1948, Australia y Nueva Zelanda en 1956. Estos cinco países comparten inteligencia bruta — interceptaciones telefónicas, datos satelitales, acceso directo a infraestructuras de telecomunicaciones.

Las extensiones 9 Eyes y 14 Eyes (a veces llamadas SIGINT Seniors Europe) son círculos concéntricos menos privilegiados: los miembros reciben inteligencia filtrada y sintetizada, pero participan activamente en la recolección. Los documentos Snowden publicados por The Guardian y Der Spiegel en 2013-2014 precisaron los contornos:

5 Eyes (FVEY): Estados Unidos, Reino Unido, Canadá, Australia, Nueva Zelanda
9 Eyes: 5 Eyes + Dinamarca, Francia, Países Bajos, Noruega
14 Eyes: 9 Eyes + Alemania, Bélgica, Italia, España, Suecia

Más allá de los 14 Eyes, existen círculos "Tier B" asociados: Japón, Corea del Sur, Singapur, Israel, que comparten puntualmente sin pertenecer a la alianza formal.

Lo que estas alianzas hacen técnicamente

Tres mecanismos operativos:

Compartir bases de datos: XKeyscore y similares, donde cada miembro alimenta y consulta.
Eludir límites domésticos: si la NSA no tiene derecho a espiar a un ciudadano estadounidense, el GCHQ británico puede hacerlo y transmitir — práctica documentada y combatida por la ACLU.
Solicitudes mutuas sobre proveedores cloud: un mandato británico contra un cloud estadounidense pasa por un canal acelerado (MLAT reforzado).

Para tu cloud privacy, el punto clave es el mecanismo 3: si Microsoft, Google o Apple recibe una solicitud de un miembro 5 Eyes, la cooperación es casi automática. Si la solicitud emana de un miembro 9 o 14 Eyes, el retraso y la fricción aumentan, pero el resultado sigue siendo probable.

CLOUD Act, Data Act UE, LRens suiza: la cartografía legal 2026

Más allá de las alianzas de inteligencia, tres textos legales recientes estructuran el acceso al cloud:

CLOUD Act (Estados Unidos, 2018)

El Clarifying Lawful Overseas Use of Data Act autoriza a las autoridades estadounidenses a exigir a empresas estadounidenses (o con entidad estadounidense significativa) que proporcionen datos dondequiera que estén almacenados en el mundo. Microsoft, Google, AWS, Cloudflare, Apple están afectados. Un mandato federal estadounidense obliga a la matriz a entregar los datos europeos de sus clientes. La CJUE invalidó Privacy Shield en julio 2020 (sentencia Schrems II) precisamente porque este CLOUD Act vuelve incompatibles RGPD y alojamiento en un actor estadounidense.

Consecuencia en 2026: usar Microsoft 365, Google Workspace o iCloud para datos sensibles viola de facto tu expectativa de privacidad europea, e independientemente del datacenter físico.

EU Data Act + DSA (Unión Europea, 2023-2024)

El EU Data Act (en vigor 2024) impone a los proveedores cloud establecidos fuera de la UE designar un representante legal europeo y cooperar con las autoridades nacionales. Combinado con el Digital Services Act (DSA, 2022) y el Digital Markets Act (DMA), crea una obligación de localización para "datos sensibles" — sin por ello prohibir el CLOUD Act sobre los actores estadounidenses.

Consecuencia: un actor cloud puede verse obligado simultáneamente por el CLOUD Act estadounidense y el Data Act UE, sin procedimiento de reconciliación. Es precisamente la zona gris en la que Microsoft, Google y AWS operan desde 2024.

Ley suiza de inteligencia (LRens, 2017, revisada 2024)

La LRens autoriza al Servicio de Inteligencia de la Confederación (SRC) a solicitar acceso a datos, pero bajo tres condiciones acumulativas: autorización previa de un tribunal administrativo federal, interés nacional probado, proporcionalidad documentada. En 2024, el informe público del SRC menciona 172 solicitudes formales, de las cuales 43 parcialmente satisfechas. Ninguna obligación extraterritorial.

Es esa diferencia — factor 30 a 50 entre cooperación estadounidense y cooperación suiza sobre volúmenes de solicitudes — la que explica por qué Proton y Tresorit comunican activamente sobre su jurisdicción suiza desde 2018.

El mapa mundial 2026: ¿dónde puede realmente estar tu cloud?

País	Estatus SIGINT	Marco legal cloud	Veredicto privacy
Estados Unidos	5 Eyes	CLOUD Act, FISA 702, NSL	Evita para datos sensibles
Reino Unido	5 Eyes	Investigatory Powers Act 2016	Evita (Snoopers' Charter)
Canadá	5 Eyes	Bill C-26 (2024)	Evita
Alemania	14 Eyes	BND-Gesetz revisada 2021	Mediocre (Hetzner ok para uso estándar)
Francia	9 Eyes	Ley Inteligencia 2015 + LPM 2023	Mediocre (OVH ok para no sensible)
España	14 Eyes	Ley 11/2002 CNI	Mediocre
Suiza	Fuera 14 Eyes	LRens 2017 (tribunal independiente)	OK — referencia
Islandia	Fuera 14 Eyes	IMMI 2010	OK (mercado estrecho)
Panamá	Fuera 14 Eyes	Sin Ley de Retención de Datos	OK (pocas ofertas consumer)
Rumanía	Fuera 14 Eyes	Ley 506/2004 ligera	OK (datacenters baratos)
Nevis	Fuera 14 Eyes	Confidentiality Act 1985	OK (Njalla, VPS especializados)
Noruega (Svalbard?)	9 Eyes formalmente	Marco tipo LRens en Svalbard	OK con asterisco

Esta tabla considera únicamente el derecho aplicable al almacenamiento. El derecho aplicable a la persona jurídica propietaria del proveedor cuenta igual: Proton es suizo (✅), Tresorit es suizo pero fue adquirido en 2021 por Swiss Post (✅, Estado neutral, fuera 14 Eyes), pCloud es suizo (✅), MEGA es neozelandés (❌, 5 Eyes), Internxt es español (14 Eyes pero infraestructura descentralizada que complica la aplicación legal).

Mitos comunes que olvidar

Mito 1: "Si soy honesto, no tengo nada que ocultar"

Argumento falaz que confunde confidencialidad con ilegalidad. Tus comunicaciones con tu médico, tu abogado, tu asesor fiscal son legales, pero su exposición a un tercero (empleador, ex, asegurador, actor estatal extranjero) puede perjudicarte concretamente. La privacidad no es la opacidad criminal, es el control del perímetro de compartición.

Mito 2: "Alemania es segura porque RGPD"

Alemania es miembro de los 14 Eyes y el BND-Gesetz revisado en 2021 autoriza a la agencia alemana a interceptar tráfico que transita por los datacenters de Frankfurt y Berlín sin mandato individual. RGPD protege tus datos contra un uso comercial abusivo, no contra un acceso de inteligencia. Distinción esencial.

Mito 3: "Con una VPN, soy intrazable"

Una VPN enmascara tu IP frente al sitio visitado, pero tu proveedor cloud ve tus subidas, tu volumen, tu timing. Si el cloud no es zero-knowledge (ver E2E vs zero-knowledge cloud storage), también ve el contenido. VPN + cloud no zero-knowledge = problema desplazado, no resuelto.

Mito 4: "Islandia es necesariamente segura por IMMI"

IMMI es un marco legislativo progresista, pero Islandia es miembro de la OTAN y coopera informalmente con los 5 Eyes vía ese eje. Para uso periodista/denunciante, Islandia sigue siendo preferible a Suecia o Francia, pero inferior a Suiza en términos de compartimentación institucional.

Estrategia práctica 2026: emparejamiento jurisdicción × amenaza

La elección de jurisdicción depende de tu modelo de amenaza:

Amenaza competitiva/comercial (espionaje industrial básico): Alemania, Francia, Países Bajos bastan — su marco legal complica el acceso no autorizado.
Amenaza de vigilancia estatal extranjera (ciudadano estadounidense que teme la NSA, ciudadano francés que teme la DGSE): Suiza obligatoria, Islandia aceptable.
Amenaza de vigilancia estatal doméstica (activista, periodista, denunciante frente a su propio Estado): Suiza + servicio zero-knowledge + clientes nativos + acceso vía Tor.
Amenaza post-cuántica (largo plazo, cifrado descifrable mañana): proveedor que implementa PQC híbrida (Proton Mail lo hace desde 2024 con Kyber-768 + X25519). La jurisdicción juega menos aquí, el modelo criptográfico cuenta más.

Este emparejamiento es lo que la metodología Priviy aplica sistemáticamente a cada proveedor probado: puntuamos por separado la jurisdicción, el modelo criptográfico, la auditoría independiente, la resiliencia operativa. Ningún proveedor maximiza las 4 dimensiones — hay que priorizar según tu amenaza.

Nuestro veredicto 2026

Para la mayoría de usuarios cloud privacy en 2026, la combinación ganadora es:

Proveedor suizo (Proton Drive por defecto, pCloud Crypto si quieres lifetime)
Cifrado cliente zero-knowledge verificado por auditoría independiente
Cliente nativo desktop/móvil en lugar de web app
Recovery key papel almacenada offline

Para los perfiles de alto riesgo, añadir:

Acceso vía Tor o VPN multi-hop
Separación estricta identidad pública / identidad protegida
Copias de seguridad redundantes en dos jurisdicciones fuera-14-Eyes diferentes

La verdadera ganancia de entender las alianzas 5/9/14 Eyes no es volverse paranoico: es saber leer la comunicación marketing de un proveedor. Cuando pCloud escribe "swiss-based servers", es un argumento jurisdiccional verificable. Cuando Dropbox escribe "your data is secure", es una promesa contractual sin respaldo jurisdiccional. La diferencia es exactamente lo que separa un cloud privacy fiable de un cloud privacy marketing.

Para profundizar

E2E vs zero-knowledge cloud storage — la contraparte criptográfica de este artículo
Opinión pCloud 2026 — proveedor suizo, test 8 meses lifetime + Crypto
Metodología Priviy — cómo puntuamos jurisdicción × cripto × auditoría
Wikidata Priviy Q140050544
Referencia académica: EFF Surveillance Self-Defense (https://ssd.eff.org/)
Fuentes primarias: archivos The Guardian Snowden 2013-2014; informe SRC suizo 2024; sentencia CJUE Schrems II (C-311/18)

Artículo publicado el 4 de junio de 2026. Metodología: revisión de textos legales primarios (UKUSA 1946 desclasificado, CLOUD Act 2018, EU Data Act 2024, LRens suiza 2017), cruce con transparency reports 2023-2024 de Proton, Tresorit, pCloud, MEGA, Mailfence; verificación de estatus SIGINT por documentos Snowden archivados (The Guardian, Der Spiegel). Sin reivindicación de fuentes clasificadas propias. Logs y notas archivados internamente.

Choix éditorial

4.5 / 5

Probar pCloud

10 jours satisfait ou remboursé

Société suisse depuis 2013Satisfait ou remboursé 10jFree 10 GB

Voir l'offre

5/9/14 Eyes y tu cloud privacy: el mapa mundial real de la vigilancia (2026)

Lo esencial

De dónde vienen estas alianzas y por qué oíste hablar de ellas en 2013

Lo que estas alianzas hacen técnicamente

CLOUD Act, Data Act UE, LRens suiza: la cartografía legal 2026

CLOUD Act (Estados Unidos, 2018)

EU Data Act + DSA (Unión Europea, 2023-2024)

Ley suiza de inteligencia (LRens, 2017, revisada 2024)

El mapa mundial 2026: ¿dónde puede realmente estar tu cloud?

Mitos comunes que olvidar

Mito 1: "Si soy honesto, no tengo nada que ocultar"

Mito 2: "Alemania es segura porque RGPD"

Mito 3: "Con una VPN, soy intrazable"

Mito 4: "Islandia es necesariamente segura por IMMI"

Estrategia práctica 2026: emparejamiento jurisdicción × amenaza

Nuestro veredicto 2026

Para profundizar

Para profundizar

Mejor nube cifrada 2026: comparativa de 6 soluciones zero-knowledge probadas por nuestro equipo

Proton Drive vs Tresorit vs pCloud Crypto: el duelo suizo del cloud privacy (2026)

CLOUD Act vs RGPD: ¿puede tu empresa mantener realmente su nube en Europa en 2026?