VPN: son realmente seguras?

Como técnico noto que es cada vez más frecuente encontrar diferentes formas de aplicaciones o extensiones para navegar a través de VPN en los equipos de mis clientes.

Casi siempre aplicaciones gratuitas o simples extensiones de dudoso e incomprobable origen.

La mayoría de las veces la intención del usuario es engañar a un servidor que limita sus servicios a ciertas ubicaciones geográficas, saltearse límites de conexiones y cuestiones similares. Los menos, buscan navegar manteniendo una estricta privacidad de sus datos.

VPN vía web y extensiones

Usar una VPN gratuita basada en un servidor web que provee el servicio desconociendo de que empresa se trata o la realidad de la tecnología que utiliza es lo mismo que entregar las llaves de tu casa a un absoluto desconocido que pasaba por allí. Nada de lo que ofrecen puede certificarse y la seguridad de tus datos o la privacidad de tus conexiones es pura cuestión de azar.

Entonces lo primero a tener en cuenta cuando de seguridad se trata, es que debe elegirse un proveedor de servicios conocido y comprobadamente confiable. Los servicios gratuitos deben de alguna forma cubrir sus gastos, pero si no cobran su trabajo… cómo lo hacen? En el mejor de los casos podemos pensar que obtienen ingresos por insertar publicidad. Pero para que esto sea eficiente, de alguna manera deben elegirse los anuncios adecuados a tus intereses y esto se hace evaluando tus hábitos de navegación y compartiéndolos con los anunciantes: la privacidad que buscabas, entonces, ya no es tal. Y eso, como dije, en el mejor de los casos. Podrían comercializar tus datos o hacer con tu información lo que les venga en gana: no los conocés, no sabes quienes son y de esa forma todo lo que imagines es posible.

En general la forma en que el usuario comprueba si una VPN le sirve o no es si cumple con el objetivo buscado. Por ejemplo, quiero entrar a un sitio web restringido para habitantes de Groenlandia, pero vivo en Costa Rica. Pues descargo una extensión de Chrome que me ofrece una VPN que disfraza el origen de mi conexión como si estuviese en Groenlandia, la activo, pruebo entrar al sitio y, si funciona, pues entonces es la mejor VPN del planeta. ERROR!

El Caballo de Troya funcionó de esa manera en la antigüedad y lo sigue haciendo. Que cumpla un objetivo no significa que todo lo demás sea cierto y tus datos e información podrían estar yendo a parar a cualquier lado.

Buscá proveedores confiables: las marcas de antivirus reconocidos suelen ofrecer cada una su aplicación para VPN y, aunque no es demasiado paranoico pensar que seguramente compartirán tus habitos de navegación con anunciantes, al menos se les puede otorgar un voto de confianza bastante más sensato que a cualquier servicio web desconocido.

Sirven realmente para lo que vos la necesitás?

Depende. Cada necesidad es un tema aparte, y vamos de a uno:

Disfrazar mi IP, ocultar mi ubicación

Cada vez menos. Para empezar, tu proveedor de Internet, cuya conexión es imprescindible para comenzar a navegar, siempre sabe cual es tu IP y al menos la IP del primer destino de tu conexión. Es decir que de entrada nomás tu ISP ya sabrá que desde tu casa estás conectándote a una VPN. Esto sería el menor de tus problemas, porque lo cierto es que ya la mayoría de los servicios masivos (empezando por Netflix y siguiendo con los servidores de juegos más importantes) han incorporado algoritmos no del todo complejos que verifican si tu conexión proviene de algunas de las IPs usadas por VPNs conocidas y, si es así, te bloquean. Y como esas bases de datos en las que se registran las IPs de las VPN se alimenta automáticamente y a diario, su utilidad para saltarse estos controles va camino a la obsolescencia.

Seguridad

Si la VPN elegida cumple seriamente con los requisitos de encriptación, al menos podrás estar tranquilo respecto a terceros que intercepten y utilicen tus datos. Y para saber si esto sucede en realidad, volvemos al punto inicial: elegí como tu proveedor de VPN a empresas conocidas! De todas formas, tené presente que el proveedor del servicio de VPN siempre podría tener acceso a tu información si quisiera hacerlo, por eso es importante la seriedad comercial de ese proveedor. Sabiendo que Facebook, Google y hasta Microsoft comparten datos con sus «asociados comerciales», poco podemos esperar de empresas menores… pero es lo que hay.

Y hasta acá estamos hablando del uso de VPNs para la navegación web. Si en cambio vamos a usarla para conexiones puntuales, cómo por ejemplo home office vía escritorio remoto, el uso de servicios de VPN web o extensiones de navegadores no tiene el más mínimo sentido.

En estos casos debe recurrirse a VPNs creadas y configuradas en el servidor del trabajo con su correspondiente aplicación cliente montada y configurada en tu equipo. Windows y Linux incluyen sus propias VPN nativas. OpenVPN es un proyecto gratuito cuyos certificados de encriptación se generan al momento de instalar y configurar y es súmamente confiable. FortiNet es un servicio pago bastante utilizado en el ámbito corporativo. Y los routers empresariales y hasta domésticos de alta gama suelen incorporar servidores VPN que brindan una seguridad bastante aceptable.

Privacidad

Por lo dicho hasta acá, sólo el uso de VPNs provistas por proveedores conocidos y confiables podrían asegurarte cierta privacidad en la información que transmitas o recibas vía internet.

Ahora, si estas usando una VPN para posteos en redes sociales, abrir cuentas en sitios de terceros o posteos en un blog público, ahorrate la VPN y conectate en directo: no tiene sentido proteger la transmisión de la información que finalmente estás haciendo pública para casi cualquier internauta!

Legales

Aún los hackers más experimentados y geniales cada tanto son alcanzados por la justicia. La única forma 100% garantizada de no ser descubierto haciendo cosas ilegales, es no hacerlas. Punto.

Salute!