5 de agosto de 2021

VPN insegura

Una VPN debería asegurar su tráfico de Internet, en lugar de comprometer sus datos. Por lo tanto, la elección de qué servicio VPN comprar es una consideración importante. Hay muchos proveedores de VPN hoy en día, todos los cuales ofrecen servicios muy similares, pero aparentemente, no todos los VPN son creados iguales.

En algún momento, una VPN se convierte en una responsabilidad de seguridad. Por ejemplo, las VPN son una responsabilidad de seguridad en los países en que están reguladas, ya que, según la WHSR, la regulación va en contra de los propósitos de las VPN: la seguridad y el anonimato.

Tener una VPN que comprometa la seguridad y el anonimato es tan bueno como no tener ninguna VPN. Encontrar una VPN insegura no es particularmente difícil si sabes lo que estás buscando. Algunos factores importantes que debe considerar al elegir un proveedor de VPN incluyen:

Registro de uso/actividad

Navegar con una VPN es básicamente enrutar el tráfico de Internet a través del servidor de la VPN. Eso significa que el servicio VPN tiene acceso a todos sus datos de uso y su actividad en Internet puede ser rastreada hasta su dispositivo. Dado que el anonimato y la privacidad son razones predominantes para las VPNs, no es seguro para un servicio VPN mantener registros de la actividad de los usuarios.

Esto nos lleva a las diferentes políticas que los servicios VPN implementan con respecto al registro de actividad. Los tipos de registros que puede mantener un servicio VPN son los registros de conexión (metadatos, datos de diagnóstico, dirección IP, etc.) y los registros de tráfico/actividad (historial de navegación, descargas, compras, etc.) Los registros de actividad son los más críticos y un servicio VPN seguro no debe, al menos, mantenerlos. Además, los registros de conexión no deben guardarse más tiempo del necesario. En última instancia, el enfoque más seguro es una política de cero registros (o sin registros).

Sin embargo, el problema es que hay servicios VPN que afirman no mantener registros (de actividad) pero que, por lo demás, lo hacen detrás de los usuarios. No puedes simplemente tomar la política de no-log de una VPN al pie de la letra. Para estar seguro de tales afirmaciones, debes indagar en sus términos de servicio y política de privacidad para registrar la información.

No basta con no registrar la actividad en Internet; después de todo, los registros de conexión permiten que una actividad sea rastreada hasta usted. Si la empresa o un tercero guarda algún registro, debe saber cuánto tiempo se guarda.

Modelo de cifrado

Las mejores VPN utilizan el protocolo de cifrado OpenVPN con el estándar AES de 128 o 256 bits, que proporciona el mayor nivel de seguridad posible. A plena capacidad, le tomará a la computadora más poderosa del mundo 885 cuatrillones de años para forzar una clave de encriptación AES de 128 bits. OpenVPN es un modelo de cifrado de código abierto sujeto a la investigación de múltiples fuentes de terceros, que trabajan juntas para actualizar la tecnología.

Sin embargo, algunas VPN están atascadas con tecnologías obsoletas como el PPTP (protocolo de túnel punto a punto). Su débil encriptación hace que se ejecute muy rápido y sea fácil de configurar, pero también crea varias lagunas de seguridad y puede exponer su infraestructura a ataques de tipo «hombre en el medio». L2TP, que es una extensión de PPTP tiene problemas similares. L2TP, debido a su falta de encriptación nativa suele estar emparejado con IPSec y puede soportar algoritmos de encriptación de hasta el nivel AES de 256 bits. Sin embargo, una mayor encriptación reduce el rendimiento.

Se necesitaría una VPN que funcione a niveles máximos sin comprometer la seguridad y la protección. Esto es lo que ofrece un protocolo OpenVPN. También lo hace el nuevo protocolo IKEv2/IPSec, que opera más rápido que los protocolos anteriores y ofrece un nivel de encriptación de hasta 256 bits. Su mayor inconveniente es la limitación de las plataformas/dispositivos de apoyo.

Otra característica de encriptación que hay que tener en cuenta es el Perfect Forward Secrecy. El PFS utiliza una clave privada temporal para encriptar las comunicaciones VPN por sesiones. Por lo tanto, el alcance de una brecha está limitado por defecto ya que sólo los datos en tránsito están comprometidos mientras que los datos futuros permanecen seguros. Un servicio VPN que no tiene el PFS habilitado es una bandera roja de seguridad.

Reputación

La reputación de un servicio de VPN determina en gran medida su credibilidad. Puedes detectar muchas VPNs inseguras leyendo las críticas de sus servicios por parte de los usuarios. A veces, estas VPN ofrecen ventajas demasiado buenas para ser verdaderas, para cubrir sus defectos y atraer a usuarios desprevenidos.

En particular, desconfíe de las VPN gratuitas. Cuesta mucho dinero para un proveedor de VPN mantener sus servidores; si le ofrecen su servicio gratuitamente, entonces puede estar casi seguro de que están ganando dinero a través de otros medios.

Uno de los medios por los cuales las VPNs gratuitas ganan dinero es sirviendo anuncios personalizados. Estos anuncios se basan en los datos proporcionados por el registro de su actividad en Internet, que como se ha mencionado anteriormente, es inseguro. Algunas de estas VPNs roban datos de sus registros y los venden a terceros.

Nota: si una VPN tiene una opción gratuita no significa que no sea creíble, pero si la opción gratuita le da acceso a toda la gama de servicios disponibles, entonces debería sospechar.

Otra consideración importante es el apoyo. ¿Cómo responde la VPN a las preocupaciones de sus clientes? ¿Qué canales de comunicación están disponibles? La información dudosa al respecto es una señal de que tal VPN no es adecuada…

Tenga siempre en cuenta que un proveedor de VPN es tan seguro como transparente.

Nuestra recomendación es NordVPN

Referencias:

https://www.infosecurity-magazine.com/next-gen-infosec/when-vpn-unsafe/

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *