Las VPN están últimamente en el punto de mira de todos. Por un lado, como medida para protegerse frente a intentos de espionaje: son túneles cifrados (en la mayoría de los casos) que evitan que alguien sepa qué estamos mirando por Internet si, por ejemplo, nos conectamos a WiFis públicas o no nos fiamos de nuestro ISP.
Por desgracia, y como suele ocurrir en la informática, no son infalibles. Una muestra la tenemos en el fallo que hemos visto esta semana que afectaba a Firefox y Chrome, y que revelaba la IP real del usuario a través de RTC. Y no es el único.
¿Cómo funciona una VPN?
Lo primero es ver cómo funciona por debajo una VPN (Virtual Private Network o Red Privada Virtual). La idea es que tú te puedas conectar a una red en cualquier parte del mundo como si estuvieses ahí físicamente. La diferencia es que en lugar de conectarte con un cable Ethernet o por Wifi, lo haces usando una especie de "túnel".
Cuando estás conectado a la VPN y quieres ver una página, tu sistema encapsulará la petición y la mandará a través de Internet a tu proveedor de VPN. El proveedor desencapsulará esos datos, que seguirán su curso normal como si estuvieses conectado físicamente a esa red: saldrán por el router de la red del proveedor, y la respuesta llegará a esa misma red que después te reenviará a ti el paquete. De esta forma, el sitio al que te conectas no sabrá tu ubicación real, e igualmente nadie más que tú y tu proveedor de VPN sabrá qué páginas estás visitando.
Por debajo, las redes VPN pueden usar varios protocolos para montar ese túnel, normalmente cifrado. De esta forma, tus datos van protegidos desde tu ordenador a la red privada (salvo que uses PPTP, que en general se considera inseguro ya que se usa en conjunción con algoritmos de cifrado inseguros, como MS-CHAP v1/2).
¿Pueden fallar las VPN?
Como decía antes, las VPN pueden usar distintos protocolos para transmitir los datos de tu ordenador al proveedor de VPN - en otras palabras, protocolos de túnel. Y, como siempre, esos protocolos pueden tener sus fallos. Por ejemplo, las VPN basadas en SSL/TLS podrían haberse visto afectadas por Heartbleed, o las basadas en SSH por el fallo del generador de claves de Debian en 2008.
La cosa no se queda ahí: hubo fallos en protocolos más específicos de VPN, como el desastre de Microsoft con su implementación de PPTP. Y eso por no hablar de la NSA, que según las últimas filtraciones es capaz de descifrar el 20% de las conexiones VPN que detecta, y más por una cuestión de capacidad de proceso que por la propia seguridad de las VPN.
Además, las VPN también se pueden vulnerar usando la interfaz silla-teclado o, en otras palabras, el usuario: contraseñas fáciles de adivinar, malas configuraciones que abren la puerta a otros ataques...
También hay fallos que no son específicos de las VPN pero que afectan a la privacidad del usuario. Por un lado, ataques como el que comentábamos al principio de WebRTC: el atacante encuentra alguna forma de no pasar por el VPN y sacar la IP real del usuario. Por otro, programas que "filtran" datos y permiten identificarte (por ejemplo, con técnicas como _canvas fingerprinting_).
¿Y tu proveedor de VPN?
Ahora bien, hay algo más sencillo que puede afectar a tu privacidad cuando usas una VPN: tu proveedor. No sirve de nada que uses los protocolos más seguros del mundo si luego tu proveedor te monitoriza y guarda registros con los sitios a los que accedes y cuándo lo haces.
Tampoco te servirá si es un proveedor en un país en el que el gobierno (o agencias gubernamentales, ejem, NSA, ejem) pueda obligarle a guardar todo tu tráfico para después analizarlo. En TorrentFreak tienen una comparativa en la que podéis ver cómo distintos servicios de VPN explican su privacidad y las medidas que toman para protegerla.
Como decíamos en el titular, aunque las redes VPN siguen siendo seguras (siempre y cuando uséis protocolos seguros y proveedores que aseguren vuestra privadidad) y suficientes para el 99% de los casos, no son infalibles.
En Genbeta | Cómo configurar redes VPN
Ver todos los comentarios en https://www.genbeta.com
VER 4 Comentarios