El pasado fin de semana dieron en el telediario de La 1 un pequeño reportaje sobre lo «fácil» que resulta para un cibercriminal obtener los datos de WhatsApp de la víctima, haciéndose eco del informe que estos días publicaba el CNI (Centro Nacional de Inteligencia) a través de la web del CCN-CERT (ES/PDF), y que compartía con mis queridos miembros de la Comunidad.
La cosa que en ese momento estaba cenando con mi pareja y ésta me preguntó dos cosas:
- Para qué alguien querría robarle la cuenta: Si total, no comparte nada importante… Obviaba la pobre que su cuenta de WhatsApp es, como ocurre con la de Facebook, un sistema de identificación digital, de tal manera que alguien que se haga pasar por nosotros en dichas cuentas es, para el resto de conocidos, nosotros mismos. Y esto abre la veda a fraudes dirigidos a conocidos o familiares (oye, amigo/familiar con el que mantengo relación pero no a diario, que me ha ocurrido una tragedia y lo estamos pasando fatal, ¿podrías enviarme algo para llegar a fin de mes?), simple extorsión (o me pagas tanto o envío a todos tus conocidos esas fotos que estabas compartiendo con tu pareja) o base de contenido audiovisual y conocimiento para campañas futuras de phishing (utilizando por ejemplo nuestra identidad, con las imágenes de la galería, para dotar de credibilidad a ataques a otras potenciales víctimas).
- Por qué recomendaban, entre otras cosas, desactivar el WiFi cuando se sale de casa, y no conectarse a redes públicas.
Sobre este punto quería dedicarle un artículo de la serie #MundoHacker, donde tratamos en varios tutoriales las medidas para atacar y/o defenderse en el mundo digital, ofreciendo una de las múltiples alternativas que tenemos para que, en caso de necesitar realizar esa conexión, se haga bajo un nivel de seguridad aceptable, sin tener que sacrificar comodidad (algo habitual en la terna seguridad-privacidad-usabilidad).
Índice de contenido
¿Qué pasa cuando nos conectamos a una red pública?
La situación se repite para muchos de nosotros casi a diario. En casa solemos tener una WiFi privada, que espero tenga deshabilitado WPS y cuente con una contraseña WPA2 robusta. Si esto es así (y si nuestros vecinos no conocen el password, que esa es otra…), podemos considerar que las conexiones que hacemos desde casa conectados a esa red son bastante privadas. Y lo mismo ocurre cuando nos conectamos mediante red móvil (nuestro 3G/4G), habida cuenta de que la comunicación se realiza «directamente» con los satélites, sin compartir espacio con terceros.
Por supuesto, la seguridad y privacidad 100% efectiva no existe, y ya se conocen bastantes ataques para comprometer tanto redes WiFi privadas como conexiones de telefonía móvil, pero vamos a centrarnos en aquellos ataques que realmente, por su facilidad, pueden comprometer nuestra seguridad/privacidad en el mundo real (quiero pensar que no todos los lectores de esta página estén sometidos a vigilancia gubernamental o sean objetivos señalados de la industria del crimen).
Cuando nosotros estamos conectados a una red WiFi, el dispositivo intentará cada cierto tiempo mejorar la señal que recibe de la misma, y esto supone buscar alrededor suyo por ver si alguna otra red con el mismo identificador tiene mejor señal.
En casa lo más seguro es que esto no ocurra nunca (solemos tener solo un router, y en todo caso, y a no ser que alguien esté realizándonos un ataque dirigido, nadie va a crear una red WiFi con más potencia y nuestro propio identificador en las cercanías), pero cuando salimos, podemos encontrarnos con situaciones semejantes.
Los cibercriminales son conscientes de que los usuarios no desactivan su conexión WiFi cuando están fuera, y esto permite que por ejemplo, caminando por una calle céntrica de nuestra ciudad, un atacante cree una WiFi con el mismo identificador que el que usan en la mayoría de Starbucks, o en la red de metro/autobuses, o la propia red WiFi que algunas ciudades ofrecen a sus ciudadanos.
Si no llevamos abierto el WiFi, no nos vamos a conectar a ellas. Pero si lo llevamos, y en el pasado hemos estado conectados al menos una vez a una red de estas, por defecto el dispositivo la reconocerá y entrará en ella pensando que es la legítima, exponiendo totalmente nuestras comunicaciones a lo que ese atacante quiera realizar.
De hecho, algo parecido nos pasa además cuando nos conectamos a este tipo de redes, aunque sean las legítimas.
La mayoría de WiFis públicas (como la del Starbucks, o la de una universidad) gestionan de manera ineficiente las conexiones, compartiendo el mismo ancho de banda en vez de crear canales paralelos para cada usuario. Y esto hace que, si en esa misma red hay alguien con un programa de sniffeo de paquetes de red, pueda estar obteniendo datos comprometidos (pares de usuario/contraseña, fotos enviadas, comunicaciones en texto plano…) de todos los que están conectados.
Y sí, desde hace ya unos meses WhatsApp ofrece por defecto cifrado de punto a punto en sus comunicaciones, lo que significa que ni la propia compañía (Facebook) puede leer lo que escribimos en los chats. Pero ojo, porque tanto Facebook como cualquier criminal que esté en la misma red WiFi tiene acceso a una serie de metadatos de comunicación que sí se comparten de manera abierta (sin estar cifrados), y que en esencia podrían permitirle hacerse pasar por nosotros (creando paquetes a nuestro nombre, por ejemplo) u obtener datos críticos (como nuestro número de teléfono, nombre…) que le sirvan para, alegando frente a nuestra operadora ser nosotros mismos y haber extraviado el dispositivo, hacerse con el control total de nuestra cuenta.
¿Hay algo que podamos hacer para evitar este tipo de ataques?
Lo hay, y afortunadamente, es cada vez más sencillo de implementar: utilizar una VPN.
Las VPN son, como ya expliqué en otras ocasiones, una suerte de túnel de comunicación en el que nuestros paquetes se envían cifrados desde nuestro dispositivo al servidor donde esté alojada la VPN, y de éste salen ya al resto de internet.
Es decir, que en el caso anterior, esos metadatos de comunicación de WhatsApp saldrían a la red WiFi pública donde está conectado el cibercriminal completamente cifrados, de manera que este ni siquiera podría saber lo que estamos haciendo. Y únicamente se descifran cuando llegan al servidor de la VPN, desde dónde ya continuarán su viaje.
¿Cuáles suelen ser los mayores problemas de una VPN?
Hay principalmente dos:
- La velocidad se ve resentida: Aunque como veremos, no siempre tiene un impacto visible en nuestras comunicaciones, estamos metiendo un paso mas (hay que ponerse primero en contacto con un servidor específico, del que saldrán las comunicaciones), y por tanto, como mínimo la velocidad será igual o inferior a la que tendríamos sin usar una VPN.
- La confianza que podamos depositar en el proveedor de VPN: Y aquí es donde entra el sentido común. Si nosotros pagamos por una VPN, el negocio de esa compañía es suministrarnos el mejor servicio posible a cambio de nuestro dinero. Si la VPN es gratuita, el negocio de esa compañía somos nosotros. Seguramente porque revenderán nuestro profiling (no tanto el qué estamos enviando, sino nuestros hábitos de uso y nuestro historial de navegación) a terceros.
¿Qué nos ofrece una VPN?
Principalmente dos cosas:
- Seguridad y privacidad: Presuponiendo que podemos confiar en ese proveedor (si no la privacidad se vería comprometida al uso que le esté dando ese proveedor a nuestros datos), todo lo que hagamos desde nuestro dispositivo saldrá cifrado de punto a punto con sus servidores, por lo que resulta materialmente imposible que un tercero conectado en nuestra misma red comprometa nuestra seguridad y privacidad. De un plumazo nos quitamos la mayoría de ataques posibles.
- Ofuscación de conexión: Aunque no es ámbito de este artículo, las VPNs son herramientas perfectas para acceder a contenido que por la razón que sea no está disponible en nuestro país. Puesto que la primera conexión que hacemos es con el servidor del proveedor de VPN, nuestra IP pública será a efectos prácticos la que tenga ese servidor. Y si este servidor está por ejemplo en EEUU, esto puede permitirnos acceder al Netflix de EEUU con nuestra cuenta española, pero con la capacidad de acceder a muchísimo más contenido. Algo muy útil para saltarse esos bloqueos geolocalizados de este tipo de compañías, y como no, para cualquier tipo de censura gubernamental que nos evite en nuestro país acceder a un contenido específico. Simplemente cambiaremos el servidor y listo.
Comodidad VS control
Cualquiera de nosotros, con tiempo y conocimiento, puede montarse una VPN, utilizando para ello el router de su casa (si lo permite, claro). De esta manera, cada vez que habilitamos nuestra VPN lo que estaremos haciendo es conectándonos en remoto (por ese túnel cifrado del que hablábamos) a nuestra conexión, y de ahí salimos a internet.
Por supuesto, esto lo hace inviable como método para evitar bloqueos de contenido de nuestra zona o país, y además, soy consciente de que entraña otros problemas, como es su propia implementación (necesitas conocer un poco sobre redes informáticas y administración de sistemas) y la velocidad que nos ofrecería (bastante limitada, ya que nuestros routers caseros están destinados a ser eso, un router casero, no una centralita de VPN).
Por eso, y a sabiendas que alguna que otra vez en mis viajes y reuniones de trabajo me tengo que conectar en redes inactivas, me he decidido por un servicio VPN de pago. Hay varios en el mercado, y generalmente ofrecen más o menos las mismas garantías, pero en mi caso he optado por NordVPN, que cumple al dedillo los requisitos que le había puesto:
- Multidispositivo: Como mínimo quería que pudiera ser compatible con dispositivos Android, iOS y Windows10. NordVPN ofrece una amalgama de programas (ES) para prácticamente cualquier sistema operativo que se le ocurra (Windows, OS X, Android, iOS y Linux, por supuesto, pero también consolas, smart TVs, raspberry pi y un largo etcétera).
- Comodidad de uso: Esto es crítico. Lo que quiero es simplemente un programa o aplicación que la abra, le de a conectar, y ya esté funcionando. NordVPN ofrecen muchos más añadidos, pero para el uso ocasional que le voy a dar, tienen la opción de apretar un botón y olvidarme.
- Confianza: Además de ser una entidad reconocida a nivel mundial, cuenta con un cifrado de doble capa AES-256-CBC (ES), centenares de servidores disponibles en 52 países a lo largo del mundo (no es algo que utilice en mi día a día, pero puede ser interesante para alguna investigación futura), compatible con los principales protocolos de comunicación (OpenVPN, PPTP, L2TP, IPSec…), así como TOR, servidores DNS propios (algo que no siempre tiene la competencia) y la capacidad de tener a la vez conectados 6 dispositivos (con tres me hubiera bastado, pero igualmente se agradece).
Lo he instalado en mi portátil (Windows10) y en mi smparthone (Android). En la tablet no lo he probado porque sinceramente, hace años que ya no la saco de casa, pero sé que tengo la opción de hacerlo si en algún momento lo necesito.
He estado trabajando con ella estos últimos días, aprovechando que he tenido una semana bastante movidita, y por ahora no tengo queja.
Por aquí dejo los resultados de conectarme con y sin VPN a la red 4G de mi smarphone. A nivel de usuario sinceramente no noto diferencia de velocidad, y esto me parece importantisimo, habida cuenta de que cuando más la necesitas suele ser además cuando peor conexión hay (WiFis de hoteles y/o oficinas, conexión desde otro país…).
En definitiva, que es una buena alternativa para proteger nuestra identidad digital. Sencilla de utilizar hasta el extremo, sin falta de configurar nada más que la cuenta (usuario/contraseña), disponible en cualquier parte del mundo.
Si habitualmente se conecta en redes compartidas, o si lo que busca es un servicio que le permita acceder a contenido que no está disponible en su país, esta VPN es una buena opción (ES).
Tengo contratada una cuenta anual, así que como mínimo será la VPN que utilice hasta finales del 2017, por lo que si tiene alguna duda coméntemela e intento solucionársela lo antes posible.
Edit en 2018: Ha sido otro año más elegida la mejor VPN del mercado. Con esto lo digo todo.
________
Si le gustaría ver más de estos tutoriales y análisis por aquí. Si el contenido que realizo le sirve en su día a día, piense si merece la pena invitarme a lo que vale un café, aunque sea digitalmente.
Hola Pablo,
Yo he contratado expressVPN y básicamente es casi idéntica al que has contratado tú, menos el cifrado de doble capa.
Esencialmente la necesitaré para China los próximos meses. NordVPN no está bloqueada en el firewall de China? Y si no lo está, actualizan sus IP’s a menudo? Gracias!
Un saludo
No he encontrado referencias al respecto Andrés. Si podemos considerar Hong Kong como parte de China (lo digo por sus jaleos legales), veo que tienen servidores por allí, pero no te sabría decir más.
Lo de que si actualizan sus IPs a menudo ya te digo que sí. Y además, no les queda otra, habida cuenta de la guerra que tienen abiertas la mayoría de VPNs con servicios como Netflix, que están continuamente baneando IPs identificadas como VPNs.
Ya nos contarás que tal por esos lares :). Saludos, y ánimo!
Hola de nuevo Pablo,
Tienen 6 servidores en Hong Kong y teniendo en cuenta que NO pasan por el gran filtro/firewall de China, doy por hecho que si funcionan allí. ¿Tienes algún enlace de afiliado? 😉
Un saludo
Por aquí te va: https://go.nordvpn.net/SHBQ. Ya te digo, me queda un poco lejos probarlo jajaja.
Pero bueno, que por lo que cuesta bien se puede intentar.
Ya me cuentas José Andrés. Muchas gracias!
¿Para que alguien quiere robarme mi cuenta si no comparto nada importante? Que buena pregunta, la oigo una y otra vez y sea cual sea la razón que queramos dar en cada momento, hay una que utilizo y que no quita al interlocutor de su ambigüedad, «Sabrás que tienes de importante cuando pierdas el acceso, si es que eso ocurre»
En realidad, todas las medidas de seguridad aceptables en la actualidad están totalmente fuera del alcance del pueblo llano, no es necesario que Penny pierda el tiempo aprendiendo, no le servirá de nada.
En general, todas las medidas de seguridad se basan en a que se dedican hoy los malos. Luego se busca un parche para ello y después los malos buscan una nueva forma, y el juego comienza de nuevo.
No podemos saber si los servicios que usamos utilizan cifrado punto a punto (suponiendo que sepamos que es eso o el por que) Todos los servicios deberían ir cifrados, toda la navegación y todas las aplicaciones que requieran acceso a la red, eso es lo más básico. Por mucha vpn que use, si el malo lo tenemos en un nodo intermedio (y este será un profesional, y no el vecino que ha leído como robar las credenciales de este o aquel servicio) Usar una vpn soluciona el problema en una parte, nos deslocaliza para cualquier snifer, y si existen limitaciones de acceso a contenidos por ip, pues nos lo podemos saltar, pero esa es ya otra guerra.
En general, yo no soy partidario de separar gratis o de pago para definir la confianza. De hecho no se me ocurre ningún parámetro que lo defina, al final, en las empresas, en ocasiones se ven en la tesitura de vender datos con el fin de poder mantener el precio competitivo, y, al final, lo acaban haciendo todas por que quieren ser igual de competitivas. En fin, no existe por el momento un sistema que nos permita dar esa confianza al respecto.
Estoy totalmente de acuerdo.
No es la panacea, pero al menos fuerza a que esas comunicaciones vayan cifradas.
Y sí, habrá que confiar en que la VPN no trafica con nuestros datos. Cosa que generalmente (y aquí es conveniente leer la letra pequeña) no ocurre con las de pago, pero que sí puede ocurrir con las gratuitas (tampoco con todas, sin ir más lejos hace tiempo recomendé una gratuita que precisamente era gratuita temporalmente porque acababa de abrir una VPN en una suite de herramientas mayor).
Por cierto, acabo de ver que tienen una oferta del 75% en la cuenta de dos años para celebrar el CyberMonth. Entrando en este enlace (https://go.nordvpn.net/SHBQ) y metiendo el código 2YCYBERDEAL, hasta el 7 de diciembre, podéis aprovecharos de la oferta :).