El tenso debate sobre la confianza, privacidad y seguridad de una VPN

VPN seguridad

Es un tema difícil de afrontar.

Por un lado, creo que pocos me llevarán la contraria al afirmar que las VPN son una de las mejores herramientas para ofuscar tu IP, con el fin, normalmente, de mantener bien comunicaciones algo más anónimas, o bien para evitar posibles censuras basadas en los ISP de cada región. Encontrarás una explicación detallada de como las VPN ocultan tu IP en este artículo de Anonysmter (ES).

Es más, es una de las maneras más sencillas de salvaguardar los datos en redes que a priori podrían ser inseguras (si es que hay alguna que no lo es), como en las WiFis Públicas. Tanto como para que en su día recomendara su uso encarecidamente.

Conforme más evoluciona el mundo digital, estamos observando que nos dirigimos a un escenario donde las comunicaciones deben viajar cifradas de punto a punto.

Un entorno que las VPN democratizan ahí donde el servicio que estamos utilizando falla, puesto que la VPN depende en primera instancia del usuario y no de terceros.

Y por otro lado, y como veremos a continuación, no es la primera vez que se pone en tela de juicio la privacidad, confianza y seguridad que en verdad estos servicios nos pueden ofrecer.

Así pues, afronto este artículo más como un espacio para exponer la información, y que sea usted y el resto de la comunidad (entre los que me incluyo) los encargados de emitir un veredicto.

¿Se anima? Empecemos.

A favor: Democratización, anti-bloqueo y complejidad

Empezamos con los puntos fuertes.

Y el primero es inmediato: El uso de un servicio VPN es cada vez más sencillo (y transparente) al usuario.

Simplemente se configura la primera vez, y a partir de entonces, tenemos alguna manera sencilla (presumiblemente un programita que activamos) de establecer conexiones vía VPN o desactivarlas.

Es más, muchos de los servicios top de VPN ofrecen programas y aplicaciones cuya configuración inicial se basa únicamente en meter un usuario y contraseña. Toda la parte técnica del proceso se realiza automáticamente, lo cual es de agradecer.

Incluso en algunas ROMs específicas de Android (como en FlymeOS), nos encontramos con que ya no solo hay un apartado (normalmente en conexiones o seguridad) destinado a configurar nuestra propia VPN, sino que además cuenta con un icono que aparece en la propia barra de notificaciones extendida.

Un acceso directo a un servicio que quizás no sea tan crítico en algunos de los países en los que muchos de los que leemos esta página vivimos (al menos no para las labores habituales del usuario), pero que se vuelve necesario a la hora de esperar mantener una postura crítica y una lectura más abierta de la información a la que el gobierno nos permite acceder.

Porque este es el segundo punto: Los servicios VPN sirven una herramienta que permite (normalmente) saltarse los filtros de bloqueo de nuestro proveedor de internet.

Y el mejor caso que se me ocurre (por sus proporciones, por su avanzado desarrollo, por sus implicaciones tanto para los de dentro como para los de fuera) es la Gran Muralla Digital China. Un titánico cortafuegos de internet que evita que la mayoría de servicios y páginas occidentales no puedan ser consumidos en su interior.

Detrás está, como no podría ser de otra forma, el gobierno chino, que ha conseguido tejer una verdadera maquinaria de censura apoyada en las nuevas tecnologías, y que únicamente es salvable gracias precisamente a la proliferación de servicios VPN dirigidos a móviles.

Descontando esta necesidad, hay otras más “del primer mundo”, como es la posibilidad de “engañar” a servicios de la talla de Netflix para que nos ofrezcan acceso al repertorio audiovisual que tienen en otros mercados, como el estadounidense, a años luz de lo que nos llega aún por estos lares.

Y por supuesto, el acceso “privado” a servidores internos de la compañía donde trabajamos. Una herramienta que diluye cada vez más el sentido de la oficina como un espacio físico específico, en favor de la flexibilidad que nos ofrece el que la oficina esté en cualquier lugar que tenga acceso a internet (ES) por la que algunos en su día decidimos apostar.

Porque es precisamente este punto el tercero que me parece importante señalar: Las VPN agregan complejidad a las conexiones, y por ende, pueden ser consideradas más privadas.

Una VPN, como en su momento expliqué, no es más que una conexión que se establece desde la máquina origen a la máquina destino (normalmente un servidor), bien sea para transferir recursos entre las dos (por ejemplo en el caso de una VPN empresarial), bien para que sea esta máquina destino la que establezca la comunicación con el objetivo final.

En cualquiera de los dos casos, la conexión se hace cifrada de punto a punto (se crea una carretera que únicamente pueden usar las dos máquinas), por lo que únicamente la máquina destino sabe quién es la máquina origen, y cualquier paso posterior vendrá “firmado” como si la máquina destino fuera en realidad la máquina origen.

El resultado es una conexión donde el objetivo final o bien pertenece a la propia VPN, o bien piensa que el servidor VPN es quien está pidiendo esa información, ofuscando el verdadero origen de la misma, y haciendo, por tanto, la conexión más privada.

En contra: Man in the Middle, botnets y vulnerabilidades

En el otro lado, tenemos la parte oscura de las VPN.

Esta está formada principalmente por tres elementos:

  • Una conexión VPN no deja de ser una conexión donde la privacidad está supeditada a la confianza en el servicio que nos suministra la red: Dicho de otra manera. La máquina destino es a la vez juez y verdugo de la identidad de la máquina origen, por lo que dependemos de “su buen quehacer” para poder asegurar que nuestras comunicaciones son en verdad privadas. Si un servicio VPN le da por entregar la información de las conexiones de sus clientes a un tercero (como un gobierno o la industria del cibercrimen), en realidad tenemos un man in the middle de guión, mandando al cuerno esa supuesta privacidad que a priori ofrecían. Y esta es la principal razón de que en su día recomendara varios servicios VPN de pago, ya que ya sabe que si el servicio no cuesta dinero, usted (y un servidor) somos el producto.
  • Lamentablemente, no es la primera vez que un servicio VPN es denunciado por servir a la vez de Botnet para otros menesteres: El último del que tengo constancia, Hola! (EN), que para colmo era de los más utilizados, y que estaban aprovechando todos esos clientes conectados a su VPN para usar su tráfico en ataques dirigidos a otros servicios o plataformas, como 8chan. De nuevo, como verá, hablo de confianza.
  • Y el tercero, viene de la mano de las vulnerabilidades. Toda esa seguridad y privacidad se pierde si la máquina destino es vulnerable a ataques de terceros (ya no que la empresa suministradora ofrezca esa información a terceros, sino que estos sean capaces de vulnerar su seguridad). Lo veíamos la semana pasada con un nuevo tipo de ataque denominado Port Fail (EN), y que aprovecha una vulnerabilidad en el redireccionamiento de puertos que muchos VPNs ofrecen. Hay parche ya disponible, pero esto es lo de siempre. ¿Quién nos asegura que no habrá alguna otra vulnerabilidad que esté ya siendo utilizada y no sea de dominio público? Y es más, ¿podemos asegurar que nuestro proveedor de VPN es en verdad invulnerable a Port Fail?

Al final, nos encontramos en un escenario basado nuevamente en la confianza. Confianza en que el proveedor de VPN (o nuestra VPN empresarial) sea lo suficientemente robusta, no tenga segundas intenciones, y no haya monetizado de otra manera el servicio.

Y por otro lado, dependemos de este tipo de servicios para anonimizar las conexiones, para luchar contra la censura de nuestro país, y para acceder a servicios localizados en distintos mercados.

Así que, ahora es su turno.

VPNs, ¿en qué casos sí y en qué casos no? ¿En qué se fija a la hora de decidirse por uno u otro servicio? Y sobre todo, ¿cree que deberíamos seguir apostando por las VPN como una de las mejores herramientas en pos de la privacidad del usuario?