#MundoHacker: ¿Cómo segurizar nuestras conexiones en redes públicas?

vpn

El pasado fin de semana dieron en el telediario de La 1 un pequeño reportaje sobre lo “fácil” que resulta para un cibercriminal obtener los datos de WhatsApp de la víctima, haciéndose eco del informe que estos días publicaba el CNI (Centro Nacional de Inteligencia) a través de la web del CCN-CERT (ES/PDF), y que compartía con mis queridos miembros de la Comunidad.

La cosa que en ese momento estaba cenando con mi pareja y ésta me preguntó dos cosas:

  • Para qué alguien querría robarle la cuenta: Si total, no comparte nada importante… Obviaba la pobre que su cuenta de WhatsApp es, como ocurre con la de Facebook, un sistema de identificación digital, de tal manera que alguien que se haga pasar por nosotros en dichas cuentas es, para el resto de conocidos, nosotros mismos. Y esto abre la veda a fraudes dirigidos a conocidos o familiares (oye, amigo/familiar con el que mantengo relación  pero no a diario, que me ha ocurrido una tragedia y lo estamos pasando fatal, ¿podrías enviarme algo para llegar a fin de mes?), simple extorsión (o me pagas tanto o envío a todos tus conocidos esas fotos que estabas compartiendo con tu pareja) o base de contenido audiovisual y conocimiento para campañas futuras de phishing (utilizando por ejemplo nuestra identidad, con las imágenes de la galería, para dotar de credibilidad a ataques a otras potenciales víctimas).
  • Por qué recomendaban, entre otras cosas, desactivar el WiFi cuando se sale de casa, y no conectarse a redes públicas.

Sobre este punto quería dedicarle un artículo de la serie #MundoHacker, donde tratamos en varios tutoriales las medidas para atacar y/o defenderse en el mundo digital, ofreciendo una de las múltiples alternativas que tenemos para que, en caso de necesitar realizar esa conexión, se haga bajo un nivel de seguridad aceptable, sin tener que sacrificar comodidad (algo habitual en la terna seguridad-privacidad-usabilidad).

¿Qué pasa cuando nos conectamos a una red pública?

La situación se repite para muchos de nosotros casi a diario. En casa solemos tener una WiFi privada, que espero tenga deshabilitado WPS y cuente con una contraseña WPA2 robusta. Si esto es así (y si nuestros vecinos no conocen el password, que esa es otra…), podemos considerar que las conexiones que hacemos desde casa conectados a esa red son bastante privadas. Y lo mismo ocurre cuando nos conectamos mediante red móvil (nuestro 3G/4G), habida cuenta de que la comunicación se realiza “directamente” con los satélites, sin compartir espacio con terceros.

Por supuesto, la seguridad y privacidad 100% efectiva no existe, y ya se conocen bastantes ataques para comprometer tanto redes WiFi privadas como conexiones de telefonía móvil, pero vamos a centrarnos en aquellos ataques que realmente, por su facilidad, pueden comprometer nuestra seguridad/privacidad en el mundo real (quiero pensar que no todos los lectores de esta página estén sometidos a vigilancia gubernamental o sean objetivos señalados de la industria del crimen).

Cuando nosotros estamos conectados a una red WiFi, el dispositivo intentará cada cierto tiempo mejorar la señal que recibe de la misma, y esto supone buscar alrededor suyo por ver si alguna otra red con el mismo identificador tiene mejor señal.

En casa lo más seguro es que esto no ocurra nunca (solemos tener solo un router, y en todo caso, y a no ser que alguien esté realizándonos un ataque dirigido, nadie va a crear una red WiFi con más potencia y nuestro propio identificador en las cercanías), pero cuando salimos, podemos encontrarnos con situaciones semejantes.

Los cibercriminales son conscientes de que los usuarios no desactivan su conexión WiFi cuando están fuera, y esto permite que por ejemplo, caminando por una calle céntrica de nuestra ciudad, un atacante cree una WiFi con el mismo identificador que el que usan en la mayoría de Starbucks, o en la red de metro/autobuses, o la propia red WiFi que algunas ciudades ofrecen a sus ciudadanos.

Si no llevamos abierto el WiFi, no nos vamos a conectar a ellas. Pero si lo llevamos, y en el pasado hemos estado conectados al menos una vez a una red de estas, por defecto el dispositivo la reconocerá y entrará en ella pensando que es la legítima, exponiendo totalmente nuestras comunicaciones a lo que ese atacante quiera realizar.

De hecho, algo parecido nos pasa además cuando nos conectamos a este tipo de redes, aunque sean las legítimas.

La mayoría de WiFis públicas (como la del Starbucks, o la de una universidad) gestionan de manera ineficiente las conexiones, compartiendo el mismo ancho de banda en vez de crear canales paralelos para cada usuario. Y esto hace que, si en esa misma red hay alguien con un programa de sniffeo de paquetes de red, pueda estar obteniendo datos comprometidos (pares de usuario/contraseña, fotos enviadas, comunicaciones en texto plano…) de todos los que están conectados.

Y sí, desde hace ya unos meses WhatsApp ofrece por defecto cifrado de punto a punto en sus comunicaciones, lo que significa que ni la propia compañía (Facebook) puede leer lo que escribimos en los chats. Pero ojo, porque tanto Facebook como cualquier criminal que esté en la misma red WiFi tiene acceso a una serie de metadatos de comunicación que sí se comparten de manera abierta (sin estar cifrados), y que en esencia podrían permitirle hacerse pasar por nosotros (creando paquetes a nuestro nombre, por ejemplo) u obtener datos críticos (como nuestro número de teléfono, nombre…) que le sirvan para, alegando frente a nuestra operadora ser nosotros mismos y haber extraviado el dispositivo, hacerse con el control total de nuestra cuenta.

nord vpn pc pabloyglesias

¿Hay algo que podamos hacer para evitar este tipo de ataques?

Lo hay, y afortunadamente, es cada vez más sencillo de implementar: utilizar una VPN.

Las VPN son, como ya expliqué en otras ocasiones, una suerte de túnel de comunicación en el que nuestros paquetes se envían cifrados desde nuestro dispositivo al servidor donde esté alojada la VPN, y de éste salen ya al resto de internet.

Es decir, que en el caso anterior, esos metadatos de comunicación de WhatsApp saldrían a la red WiFi pública donde está conectado el cibercriminal completamente cifrados, de manera que este ni siquiera podría saber lo que estamos haciendo. Y únicamente se descifran cuando llegan al servidor de la VPN, desde dónde ya continuarán su viaje.

¿Cuáles suelen ser los mayores problemas de una VPN?

Hay principalmente dos:

  • La velocidad se ve resentida: Aunque como veremos, no siempre tiene un impacto visible en nuestras comunicaciones, estamos metiendo un paso mas (hay que ponerse primero en contacto con un servidor específico, del que saldrán las comunicaciones), y por tanto, como mínimo la velocidad será igual o inferior a la que tendríamos sin usar una VPN.
  • La confianza que podamos depositar en el proveedor de VPN: Y aquí es donde entra el sentido común. Si nosotros pagamos por una VPN, el negocio de esa compañía es suministrarnos el mejor servicio posible a cambio de nuestro dinero. Si la VPN es gratuita, el negocio de esa compañía somos nosotros. Seguramente porque revenderán nuestro profiling (no tanto el qué estamos enviando, sino nuestros hábitos de uso y nuestro historial de navegación) a terceros.

nord vpn pc extras

¿Qué nos ofrece una VPN?

Principalmente dos cosas:

  • Seguridad y privacidad: Presuponiendo que podemos confiar en ese proveedor (si no la privacidad se vería comprometida al uso que le esté dando ese proveedor a nuestros datos), todo lo que hagamos desde nuestro dispositivo saldrá cifrado de punto a punto con sus servidores, por lo que resulta materialmente imposible que un tercero conectado en nuestra misma red comprometa nuestra seguridad y privacidad. De un plumazo nos quitamos la mayoría de ataques posibles.
  • Ofuscación de conexión: Aunque no es ámbito de este artículo, las VPNs son herramientas perfectas para acceder a contenido que por la razón que sea no está disponible en nuestro país. Puesto que la primera conexión que hacemos es con el servidor del proveedor de VPN, nuestra IP pública será a efectos prácticos la que tenga ese servidor. Y si este servidor está por ejemplo en EEUU, esto puede permitirnos acceder al Netflix de EEUU con nuestra cuenta española, pero con la capacidad de acceder a muchísimo más contenido. Algo muy útil para saltarse esos bloqueos geolocalizados de este tipo de compañías, y como no, para cualquier tipo de censura gubernamental que nos evite en nuestro país acceder a un contenido específico. Simplemente cambiaremos el servidor y listo.

nord-vpn-android-pabloyglesias

Comodidad VS control

Cualquiera de nosotros, con tiempo y conocimiento, puede montarse una VPN, utilizando para ello el router de su casa (si lo permite, claro). De esta manera, cada vez que habilitamos nuestra VPN lo que estaremos haciendo es conectándonos en remoto (por ese túnel cifrado del que hablábamos) a nuestra conexión, y de ahí salimos a internet.

Por supuesto, esto lo hace inviable como método para evitar bloqueos de contenido de nuestra zona o país, y además, soy consciente de que entraña otros problemas, como es su propia implementación (necesitas conocer un poco sobre redes informáticas y administración de sistemas) y la velocidad que nos ofrecería (bastante limitada, ya que nuestros routers caseros están destinados a ser eso, un router casero, no una centralita de VPN).

Por eso, y a sabiendas que alguna que otra vez en mis viajes y reuniones de trabajo me tengo que conectar en redes inactivas, me he decidido por un servicio VPN de pago. Hay varios en el mercado, y generalmente ofrecen más o menos las mismas garantías, pero en mi caso he optado por NordVPN, que cumple al dedillo los requisitos que le había puesto:

  • Multidispositivo: Como mínimo quería que pudiera ser compatible con dispositivos Android, iOS y Windows10. NordVPN ofrece una amalgama de programas (ES) para prácticamente cualquier sistema operativo que se le ocurra (Windows, OS X, Android, iOS y Linux, por supuesto, pero también consolas, smart TVs, raspberry pi y un largo etcétera).
  • Comodidad de uso: Esto es crítico. Lo que quiero es simplemente un programa o aplicación que la abra, le de a conectar, y ya esté funcionando. NordVPN ofrecen muchos más añadidos, pero para el uso ocasional que le voy a dar, tienen la opción de apretar un botón y olvidarme.
  • Confianza: Además de ser una entidad reconocida a nivel mundial, cuenta con un cifrado de doble capa AES-256-CBC (ES), centenares de servidores disponibles en 52 países a lo largo del mundo (no es algo que utilice en mi día a día, pero puede ser interesante para alguna investigación futura), compatible con los principales protocolos de comunicación (OpenVPN, PPTP, L2TP, IPSec…), así como TOR, servidores DNS propios (algo que no siempre tiene la competencia) y la capacidad de tener a la vez conectados 6 dispositivos (con tres me hubiera bastado, pero igualmente se agradece).

Lo he instalado en mi portátil (Windows10) y en mi smparthone (Android). En la tablet no lo he probado porque sinceramente, hace años que ya no la saco de casa, pero sé que tengo la opción de hacerlo si en algún momento lo necesito.

He estado trabajando con ella estos últimos días, aprovechando que he tenido una semana bastante movidita, y por ahora no tengo queja.

nord vpn pc velocidad

Por aquí dejo los resultados de conectarme con y sin VPN a la red 4G de mi smarphone. A nivel de usuario sinceramente no noto diferencia de velocidad, y esto me parece importantisimo, habida cuenta de que cuando más la necesitas suele ser además cuando peor conexión hay (WiFis de hoteles y/o oficinas, conexión desde otro país…).

En definitiva, que es una buena alternativa para proteger nuestra identidad digital. Sencilla de utilizar hasta el extremo, sin falta de configurar nada más que la cuenta (usuario/contraseña), disponible en cualquier parte del mundo.

Si habitualmente se conecta en redes compartidas, o si lo que busca es un servicio que le permita acceder a contenido que no está disponible en su país, esta VPN es una buena opción (ES).

Tengo contratada una cuenta anual, así que como mínimo será la VPN que utilice hasta finales del 2017, por lo que si tiene alguna duda coméntemela e intento solucionársela lo antes posible.

 

Edit en 2018: Ha sido otro año más elegida la mejor VPN del mercado. Con esto lo digo todo.

 

________

Si le gustaría ver más de estos tutoriales y análisis por aquí. Si el contenido que realizo le sirve en su día a día, piense si merece la pena invitarme a lo que vale un café, aunque sea digitalmente.

hazme patrono pabloyglesias