#MundoHacker: ¿Cómo puedes saber si una VPN es segura de usar?

vpnpro

No es la primera vez, ni será la última, que recomiendo utilizar redes privadas virtuales (VPN).

La seguridad y la privacidad son dos de las razones principales por las que las personas (entre las que me incluyo) las usamos. Pero además, las VPN incluyen una amplia gama de funciones de cifrado y geolocalización que permiten a los usuarios acceder a contenido y sitios web bloqueados geográficamente, como Facebook, Netflix, YouTube, Gmail e Instagram. Para acceder a contenido bloqueado por las operadoras, el gobierno, o a menor nivel una empresa o universidad/centro de estudio, pero también para poder acceder, como explicaba recientemente, al catálogo de contenido de nuestro país en servicios de streaming como Netflix o Spotify cuando estamos fuera (o viceversa, ya sabes :D).

Desafortunadamente, aunque hay muchas VPN en el mercado, cada una afirma ser mejor que las demás, y para colmo no es nada sencillo saber cómo de seguras son realmente. Algunas tienen estándares técnicos deficientes que las hacen poco recomendables. Y otras están amparadas por regulaciones un tanto confusas o poco confiables. Por lo tanto, aprender a saber si una VPN es segura me parece muy importante, y es algo que me habéis preguntado bastante.

Así que…

¿Qué debemos que tener en cuenta entonces?

Básicamente, y por resumir, tres puntos:

Protocolos de seguridad robustos

Esto debería ser de cajón: Para que una VPN se considere segura debe utilizar protocolos de seguridad robustos.

Los protocolos de seguridad son utilizados por las VPN para cifrar y proteger los datos del usuario (es la base de su funcionamiento), y al final lo que buscamos en una VPN es que nos ofrezca esa privacidad en la comunicación/navegación que no podemos asegurar con la conexión de red estándar.

Por lo que un buen punto de inicio es recurrir a páginas que se dediquen exclusivamente a hacer comparativas, como es el caso de VPNPro.

En ella podemos ver cómo está posicionada cada herramienta y saber qué protocolos utiliza. Y un punto que a mi personalmente me interesa, además de, por supuesto, que sean robustos, es que sean de código libre. Esto implica que sería muy difícil para un tercero dejar una puerta trasera para que exploten entidades no deseadas, como cibercriminales y gobiernos. Simplemente cualquiera puede revisar si quiere el código, lo que en teoría lo hace más fiable.

SSTP, IKEv2 y L2TP son algunos ejemplos de protocolos de seguridad considerados robustos. Las VPN que utilizan estos protocolos, al menos por ahora, son seguras. Pero esto, como todo, va cambiando, y por ejemplo ahora ya sabemos que algunos protocolos antiguos han demostrado recientemente ser inseguros, como ocurrió con WEP o WPA en WiFis.

Para mejorar el cifrado y la seguridad, la mayoría de las VPN incorporan un nivel superior de cifrado conocido como cifrado AES-256, que de nuevo, mete una capa extra. Otro punto a considerar, vaya.

En esta reseña de NordVPN (ES), una de las VPNs que como ya expliqué en su día más he utilizado, hacen un repaso bastante decente a todo lo que deberíamos tener en cuenta a nivel de seguridad y cifrado.

Registro de datos mínimo

Por lo general, una VPN mantendrá registros de sus diversas actividades, incluidos los registros de conexión y las fechas. Algunas VPN también pueden mantener registros de sus direcciones IP. Datos, a fin de cuentas, que podemos considerar aceptables (por ley es necesario que lo hagan precisamente para evitar que los malos las utilicen para sus acciones).

Otras VPN, por contra, mantienen registros de uso como el historial de descargas y los sitios web visitados con frecuencia. La mayoría de las VPN gratuitas son conocidas por mantener registros de toda la navegación que hacemos con ellas, y de hecho además de registrar estos datos, estas VPN suelen ir un paso más allá y vender dicha información a terceros.

Es por eso que soy tan pesado, como ya hiciera con los antivirus, en decir que debemos ser conscientes de que si no pagamos por el servicio, el negocio son nuestros datos.

Por lo tanto mi recomendación pasaría por apostar solo por VPNs que mantienen registros de datos mínimos, como los registros de conexión y de sesión. Y que paguemos porque así sea, ya que así sabremos que no están traficando con más datos.

Servidores DNS privados

Cuando navegamos por la web utilizando una VPN nuestras solicitudes se cifran antes de enviarlas a un servidor DNS. El propio túnel VPN es el responsable de cifrar las solicitudes que hacemos. Un DNS, como ya expliqué en su día, es más como un directorio telefónico donde los caracteres alfanuméricos se traducen a direcciones informáticas que permiten comunicarnos con el sitio web que estamos visitando (nosotros ponemos www.pabloyglesias.com, y las DNS se encargan de traducir esa petición en una dirección IP al servidor donde está alojada esta web).

Y es por eso que muchas VPNs tienen su propio servidor DNS para mantener el anonimato completo en las solicitudes del usuario. Si no habría un elemento de la cadena que podría saber qué navegación estamos realizando. Las solicitudes de los usuarios en la mayoría de los casos se devuelven a los servidores DNS propiedad de ISP. Y por tanto, el ISP (la operadora que nos suministra el servicio) ya sabe lo que el usuario está haciendo en línea:

  • Si requerimos ese plus de anonimato, este debería ser un punto más a considerar.
  • También es verdad que algunas redes privadas virtuales vienen con un servicio integrado de protección contra fugas, que básicamente se encarga de ofuscar nuestras peticiones para que el ISP tenga más difícil identificarnos.
  • Y por último, existe la posibilidad de que nosotros manualmente cambiemos nuestras DNS por defecto. Algo que un servidor, de hecho, ya hizo en su día en todos sus dispositivos.

Conclusiones

La VPN se han vuelto una herramienta básica de mi día a día.

  • Me permite mantener seguros mis datos en conexiones a priori inseguras (WiFis públicas).
  • Me permite visitar sitios web de forma anónima sin el temor de que «haya alguien espiándome».
  • Siempre puedo acceder al catálogo de Netflix, Amazon Prime Video o HBO indistintamente donde esté.

Pero al final es importante elegir correctamente, ya que muchas de ellas fallan en alguno de los puntos anteriores. Carecen de protocolos de cifrado robustos, mantienen registros de nuestras diversas actividades en la web, o si eso es importante para ti, no cuentan con un servidor DNS dedicado.

Deberíamos visitar su sitio web para conocer exactamente qué ofrecen. Y además, leer la sección de preguntas frecuentes y buscar por internet acerca de su confianza.

Teniendo en cuenta estos tres puntos, el resto es decidirse por una o por otra.

Yo tengo mi elección (realmente tengo tres instaladas a día de hoy, aunque solo utilizo dos de forma habitual), pero me las guardo para no enturbiar la pieza.

Si te interesa, te lo digo por privado :).

________

Puedes ver más artículos de esta serie en #MundoHacker, donde tratamos en varios tutoriales las medidas para atacar y/o defenderse en el mundo digital.

Y si el contenido que realizo te sirve para estar actualizado en tu día a día, piensa si merece la pena invitarme a lo que vale un café, aunque sea digitalmente.