Leyendas urbanas sobre las redes privadas virtuales (VPNs)

Imagen que representa a usuario de VPN.
Imagen cortesía de Mohamed Mahmoud Hassan.

En años recientes, se ha despertado en la gente un interés por buscar o invertir en recursos que les protejan de varios adversarios: crackers (no utilizo la palabra “hacker” para describir a los delincuentes) que buscan robarle la información a la gente, espionaje del gobierno federal (o estatal) a sus ciudadanos, acceso a información que es comercialmente bloqueada en otros países (e.g. poder ver ciertas películas que Netflix), etc. Por supuesto, contamos con antivirus de toda clase, además de mecanismos de seguridad de portales responsables que de ciertas maneras conducen a los usuarios a tomar mayores medidas de seguridad (Google, Microsoft, Yahoo, entre otros). Sin embargo, aun en estos casos, compañías como Google y, más recientemente, Microsoft, espían el contenido de los correos electrónicos, no con el propósito de delatarnos al gobierno, sino para hacer disponibles datos a terceros para vender anuncios.

En la búsqueda de mayores medidas de seguridad, los usuarios se han dejado deslumbrar por cuanto anuncio de redes privadas virtuales (VPNs) se disemina en las redes sociales o en vídeos de YouTube para sentirse más seguros. A veces, como muchos usuarios no tienen dinero para invertir en este tipo de servicios, se contentan con instalar uno en su navegador o en su móvil de forma gratuita. Sin embargo, lo que he visto es que muchas personas malentienden el propósito de una VPN o sus límites de protección.

¿Qué es una VPN?

Imagen que representa simbólicamente a un VPN
Imagen cortesía de IMGBIN.

Como sugiere la frase “red privada virtual”, una VPN (por sus siglas en inglés) es una red privada que existe virtualmente dentro de otra. Por ejemplo, una universidad, una empresa o una agencia gubernamental puede querer crear una red interna que sea hasta cierto punto autónoma de la Internet a la que solo puedan tener acceso sus miembros; pues, para eso puede crear una VPN. Eso es todo.

A nivel comercial, en la mayoría de las ocasiones, se nos vende una VPN para formar parte de una red privada, que nos provea un túnel seguro, con conexión y comunicación encriptadas, para un servidor que a su vez nos dé acceso a la Internet. Esto es conveniente si uno quiere protegerse del monitoreo del proveedor (IP) o de algunos terceros intrusos indeseados.

También, los servicios comerciales de VPNs usualmente tienen servidores a nivel mundial. Esto le permite al usuario esconder su dirección de IP y poder acceder a contenido de diversas partes del mundo. De esa manera, yo puedo registrarme e iniciar sesiones en una VPN en Puerto Rico y puedo conectarme a un servidor en Francia para llevar a cabo actividades como si estuviera en París. De esa manera, parecería que estoy operando virtualmente como si estuviera en la misma capital francesa.

Contrario a lo que algunas personas puedan pensar, estas no son necesariamente movidas de delincuentes. Como todo en la vida, depende de cómo se use este importante recurso.

¿Para qué se puede utilizar una VPN?

Fotografía de una usuaria de la red del establecimiento de café.
Fotografía de una usuaria de la red del establecimiento de café. Cortesía de DCStudio – www.freepik.com

Una VPN de por sí no necesariamente es un mecanismo de seguridad. Como dijimos en la sección previa, en principio se ideó para crear redes privadas. Sin embargo, los servicios de VPN en general, tanto las que se hacen localmente como las que están disponibles para servir al público, han adoptado una imagen comercial de mayor seguridad en relación con el uso de la red.

Supongamos que uno está conectado a una red pública o en una comercial tales como las de Starbucks o Burger King, o si alguien utiliza una red en un hotel y es compartida, existen mecanismos que les permiten a los crackers espiar la información que se envíe por la red. Por ejemplo, si usted lleva a cabo transacciones y algunas de ellas no están debidamente encriptadas, siempre existe la oportunidad de que un personaje malicioso use esa información para sus fines a expensas suya. Podría robar las contraseñas, información de cuentas bancarias, etc. Los servicios de VPN hacen posible que la actividad que usted lleve a cabo en su laptop, tableta o móvil sea encriptada, impidiendo así que un cracker haga de las suyas. También tiene el beneficio que se le haría difícil al proveedor de la red o al mismo gobierno espiar las transacciones y actividades.

El segundo tipo de razón por la que la gente invertiría en una VPN es para poder ver películas o series de un país como si estuviera en otro. Por razones de licenciamiento y venta de anuncios, servicios como YouTube, Vimeo, Netflix, Prime Video, HBO Max, Disney+ y otros dan acceso a los usuarios o no a sus películas o series dependiendo de dónde ellos vivan. Por lo tanto, además de proveer un cierto nivel de seguridad, usualmente se utilizan las VPNs para evadir estos impedimentos y poder disfrutar de su contenido.

Finalmente, para aquellos que desean descargar material o acceder a la red Tor, o por vía de BitTorrent, las VPN pueden proveer una vía de acceso sin que sea monitoreada por la compañía que administre la red o por el gobierno mismo.

El tener una VPN (al menos por sí mismo) NO significa seguridad

Dado lo anterior, aunque ya sepamos para lo que podría servir una VPN, vale aclarar que tener ese servicio (al menos de por sí) no significa seguridad. Hay artículos rondando en la Internet, tales como este artículo de LifeHacker, que les dicen a los usuarios en general que tienen que usar una VPN por su seguridad. En ocasiones, inundan a los usuarios de anuncios vendiéndoles servicios de VPN. Este tipo de cosas les proveen a los usuarios un falso sentido de seguridad. Esto no es correcto, veamos algunos casos en los que la VPN no ayuda en absoluto.

1. Tener una VPN no le va a proteger de usted mismo

Fraude robándole la tarjeta a usuaria
Imagen en dominio público, cortesía de Mohamed Mahmoud Hassan.

No importa cuántas VPNs usted instale en su computadora, o antivirus, o murallas de fuego (firewalls) o medidas de protección, nadie puede salvarle de usted. Su computadora puede ser tan segura que se volvería la envidia de Alcatraz y del Pentágono con las VPNs que de seguridad militar más altas del universo. La humanidad falible siempre es el problema más grande de seguridad. Cuando solía reparar computadoras o resolverle problemas a los colegas (y tómese la evidencia como anecdótica), me percaté de que cerca del 95 % de los problemas de seguridad residían en la pieza que estaba justo al frente de la computadora: el usuario.

El caso clásico es el phishing, un mensaje electrónico que llega por correo que avisa que usted tiene miles o millones de dólares de alguien que le dejó dinero en Nigeria, o que hay un problema de seguridad con su cuenta de PayPal. ¿Qué usted hace? Le da al enlace y le conduce a una página que se parece muchísimo la de PayPal. En seguida, usted pone la información pertinente para iniciar su sesión y, desde ese momento, los crackers pueden hacer fiesta con su cuenta verdadera.

La otra manera en que esto ocurre es mediante llamadas telefónicas. Le llaman a usted de parte del banco, diciéndole que hay problemas con su cuenta. O peor, llega una grabación de que el Negociado Federal de Investigación (FBI), dice que le está buscando porque hubo una transacción ilegal de su cuenta bancaria y que será arrestado. Acto seguido, la persona responde a la grabación, el estafador obtiene la información, y después se dedicará a vaciarle la cuenta bancaria. Todas estas llamadas son fraudulentas, sin excepción. El banco mismo tiene acceso a su cuenta, nunca le va a pedir información confidencial, y menos por teléfono, ya que la llamada podría estar siendo monitoreada por algún intruso malicioso. Y si el FBI fuera arrestarle, le garantizo que lo que menos haría sería anunciárselo con bombos y platillos, para que después se convierta instantáneamente en un fugitivo de la justicia. Al contrario, sus visitas siempre son sin avisar.

Una VPN no le va a proteger de nada de esto. Por tanto, cuando sienta que hay algo sospechoso, investigue. Si recibe una llamada que alega ser del “banco” y le pide su nombre de usuario y contraseña, enganche. Llame a su banco, al FBI o a la policía al respecto, dele la información de que un estafador está operando y reporte el número de teléfono utilizado. Si recibe algún aviso sospechoso en PayPal, Google Pay u otro servicio de pagos, no le dé nunca al enlace provisto por el mensaje electrónico, Siempre vaya a su navegador y a su cuenta directamente. Si todo está en orden, no hay por qué hacerle caso alguno al mensaje. Si tiene más dudas, escríbale un mensaje a estas empresas, estoy seguro de que querrán ayudar y reportar lo sucedido.

2. La VPN no es un recurso para proteger la intimidad

Hay contextos en los que el uso de una VPN no protege para nada la intimidad de un usuario en una red compartida. Por ejemplo, hay disponibles VPNs gratis a los que un usuario podría registrarse. Sin embargo, VPNs gratuitos son usualmente muy sospechosos porque aunque regularmente pueden proteger a un usuario en una red de una cafetería, sí registran sus los datos y los podrían vender, o puede ser que no provean una seguridad adecuada. Por eso, las VPN pagadas o aquellas que uno pueda crear localmente son usualmente más seguras.

Esta es la conclusión a la que llegó un estudio del 2016 que investigó cientos de aplicaciones de VPN para Android y encontró que la inmensa mayoría no eran fiables. Según resumió el noticiero Ars Technica, entre varias cosas que encontró se destacan:

  • El 18 % de las aplicaciones no encriptaba las comunicaciones.
  • El 16 % añadió código de JavaScript y de otra índole para rastrear las actividades de los usuarios.
  • El 84 % no ocultaba plenamente la actividad de los usuarios en línea y permitía la fuga de datos (data leaks).
  • Del 67 % de las aplicaciones que afirmaban mejor beneficio de privacidad o intimidad, el 75 % usó bibliotecas de terceros para rastrear a sus usuarios, el 82 % les solicitaba permisos en relación con sus cuentas o mensajería de texto.
  • El 38 % tenía código considerado malicioso por VirusTotal.

Aun hoy, a las alturas del año 2022, existen aplicaciones en Android cuyos permisos solicitados ponen la intimidad del usuario en riesgo. Según Ars Technica, estos incuyen a YogaVPN, proXVPN, FreeVPN, oVPNSpider, SwitchVPN, Zoog VPN, y Seed4.Me VPN.

Y aun cuando una compañía de VPN no necesariamente venda los datos, o garantice la seguridad de los mismos, el hecho de que algunas de ellas puedan retener datos de los usuarios significa que ante la solicitud de los gobiernos, la compañía estaría obligada a dárselos.

3. La VPN no garantiza anonimidad

Logotipo de Tor

Hay servicios de VPN que tienen políticas de no registrar las actividades de sus usuarios (no log policy). En tales casos, la limitación es la de … creerles que realmente no mantienen registro alguno de sus usuarios. Por lo tanto, una VPN realmente no es el instrumento para garantizar la plena anonimidad. De hecho, en la mayoría de los casos, una VPN que registrara la actividad de sus usuarios daría el mismo nivel anonimidad que si no se usara. Eso se debe a que el ciberespacio ha evolucionado, y hoy día nos conectamos a los portales vía HTTPS, que solo registra la dirección que hemos visitado, pero no su actividad. Para este año, cerca del 78.2 % de los portales, que incluye el 95 % de los primeros mil portales más accedidos en línea, ya tenía soporte para HTTPS. Algunas personas han concluido que las VPNs comerciales están de más si el propósito es proteger la privacidad.

Ahora bien, si se insistiera acceder a los portales anónimamente, el instrumento es Tor o algo parecido a eso. No una VPN.

4. Una VPN no previene rastreo para anuncios

Una VPN tampoco previene que alguna compañía rastree la actividad del usuario para propósitos de anuncios. Eso se debe a que no es en la red misma que se encuentra el problema, sino en el navegador (browser) del usuario, especialmente si utiliza alguno tal como Microsoft Edge o Google Chrome, que muchas veces permiten que se inundan las páginas de anuncios, con todos los problemas de seguridad que eso conlleva. Todos los navegadores permiten anuncios de una forma o de otra. Aun en el caso de Brave, Mozilla Firefox u otros que logran bloquear efectivamente los anuncios, algunos portales siempre les solicitan a sus lectores que apaguen sus bloqueadores para colocar cookies, el mecanismo de rastreo para anuncios.

Ahora bien, hay servicios de VPN que previenen que carguen anuncios desde direcciones con ese tipo de historial comercial o de programas maliciosos. Sin embargo, esto no es lo usual en la mayoría de los casos, y suele costar más dinero proveer este servicio.

Así que una VPN no va a evitar que se le rastree a alguien para fines comerciales. Eso depende más del navegador y del usuario.

Resumen de lo presentado

Para todos los efectos, para lo único que usted podría necesitar una VPN es para tres cosas:

  1. Si usted es el tipo de persona que viaja mucho, se suele alojar en hogares con AirBNBs o a hoteles, utiliza redes compartidas en cafés o restaurantes, o si tiene alguna red compartida con otros hogares o apartamentos, entonces el uso de una VPN es recomendable, especialmente si desea manejar cuentas bancarias o tener acceso a información confidencial sin que otras personas puedan husmear la conexión. Esto se garantiza especialmente con VPNs comerciales probos en no exponer dicha información a terceros, sea por falta de encriptación, permitir la fuga de datos, o registrar los datos de los usuarios, que potencialmente podrían llegar a manos de otros entes privados o el mismo gobierno. En tal caso, búsquese alguna empresa VPN conocida por una política estricta de no registro de actividad de sus clientes, y que sea evaluada y auditada por terceros de reputación.
    .
  2. Si usted es de las víctimas de las empresas de entretenimiento, de que hasta paga por ver series y películas, pero la compañía no le deja, una VPN le puede permitir acceder a ello. No todos los servicios de VPN desbloquean la censura, pero sí algunos se especializan en ello. Si ese es su caso, una VPN diseñada para ello se lo permitirá.
    .
  3. Hay lugares en el mundo en los que los usos de Tor y BitTorrent están prohibidos. Una VPN permite evadir este tipo censura. En caso de ir de viaje a esos países y querer acceder a contenido censurado, una VPN es lo que necesita. Una vez más, no todos los servicios de VPN proveen esta importante característica.
    .
  4. La única VPN 100 % privada es aquella que alguien pueda instalar localmente (con las debidas medidas de seguridad) que no sea administrada por alguna entidad comercial o pública.

Con la excepción de aquellos que se encuentren en uno o más de estos tres casos, la inversión en una VPN es una pérdida de dinero. Para la inmensa mayoría de la gente, el pago por una VPN no representa un aumento sustancial en anonimidad, privacidad o seguridad.

Este blog se mantiene por el administrador, pero también se sostiene, en parte, gracias a las donaciones de sus lectores. Si le gusta el contenido y desea ayudar, en la medida que se pueda, done con PayPal. Puede también comprarme un café usando PayPal o Stripe. O pueden enviar dinero usando cualquiera de las siguientes criptomonedas:

Bitcoin: 1MLP6kxvE3vNsNcv91BPT3zDd86eMyk9UN

Ethereum: 0xd90DCCbf29A9723594d00b7aE454aD6Af1b4E7B8

Litecoin: LN4gPjGF9cKRJfcVZaTfTvkEnRae4AfAyk

Basic Attention Token (BAT): 0xbFb99452c5558145FF5b3a25129B42f1e03Ae83F

Muchas gracias.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.