Hace tiempo que las VPN surgieron como un sistema muy eficaz para proteger la comunicación entre dos extremos y evitar que posibles "cotillas" pudieran tener acceso a esas transferencias de datos gracias a la capa de privacidad y cifrado que añaden. La idea fue muy aprovechada en entornos empresariales y profesionales, pero sus prestaciones han pasado a ser de uso mucho más común tras la adaptación de las VPN para una tarea mucho más atrayente: poder disfrutar de Netflix, Hulu o Pandora en nuestro país, cuando teóricamente solo podríamos hacerlo desde Estados Unidos.
En ese caso el truco está en jugar con las IPs, las direcciones que sirven para tratar de demostrar que nuestro equipo está funcionando en Estados Unidos o en cualquier otro país. Normalmente esos servicios VPN tienen cierto coste, pero hay VPN gratis -en Genbeta hace tiempo nos hablaban de siete de ellas- que atraen a muchos usuarios por esa circunstancia. El problema, claro, es que en realidad nada es gratis.
El caso de Hola
En mayo de 2015 se hizo famoso el escándalo que surgió con Hola, un servicio VPN gratuito que como en otros casos hace que sea posible acceder a servicios de Internet restringidos geográficamente. La propuesta de Hola era muy atractiva y su funcionamiento era destacable, pero el problema estaba en que esa gratuidad venía con letra pequeña.
En este caso esa letra pequeña se traducía en el hecho de que al conectarnos a esa VPN cedíamos nuestro ancho de banda para que los usuarios de otro servicio asociado -Luminati, que sí es una VPN de pago- pudieran aprovecharlo para diversos escenarios. Que desde luego podrían ser benignos, pero que como se demostró también podían ser muy discutibles.
Ocurrió que uno de los usuarios (o grupos de usuarios) que usaban Luminati aprovecharon ese servicio para lanzar un ataque de denegación de servicio a la web 8chan. Así lo confirmaba Fredrick Brennan (el texto e imágenes se han perdido porque 8chan fue hackeado en abril de 2017), responsable de 8chan, que explicaba cómo se había producido esa caída.
Hola se ha vuelto codicioso. A finales de 2014 se dieron cuenta de que en su servicio tenían una botnet con más de 9 millones de IPs en sus manos, y comenzaron a vender acceso a esa botnet (por el momento, solo para peticiones HTTP) a través de http://illuminati.io.
Brennan calificaba a Hola del "servicio VPN menos ético que jamás he visto", y dejó claro que la gratuidad del servicio convertía a sus usuarios en posibles responsables indirectos de estos ataques a través de esa gigantesca botnet en la que uno entra sin saberlo. Aunque los responsables de ambas empresas ya han aclarado el asunto y parece que de momento "no va a haber más problemas" entre ambas partes, el daño está hecho, y esa es la demostración de que una VPN gratuita, como cualquier otra cosa gratuita, se suele cobrar ese coste de otra forma. En agosto de 2016 este servicio seguía siendo poco recomendable según los análisis de VPN especializados.
Nadie da duros a cuatro pesetas
Las VPN son una interesante alternativa de proteger nuestro uso de Internet. Mantener la privacidad es algo que cada vez preocupa más -sobre todo tras las filtraciones de Edward Snowden- y los servicios de este tipo prometen garantizar esa privacidad y a menudo presumen de ofrecer esa capacidad sin cobrarnos nada.
El problema es que para los servidores proxy que proporcionan este servicio funcionen es necesario que cuenten con una conexión especialmente capaz de lidiar con las ingentes cantidades de datos que generan estos servicios al ser usados por muchos usuarios, algo que puede repercutir en la velocidad de conexión. Y eso cuesta dinero. Mucho dinero. Si a ello le sumamos el coste del mantenimiento, de la operativa y de la seguridad, esos costes se incrementan. ¿Por qué alguien ofrecería esos servicios de forma gratuita? Fácil: porque en realidad no son gratuitos.
En algunos de estos servicios la gratuidad se compensa con la aparición de publicidad en nuestras sesiones de navegación, y esos proveedores de servicio esperan que hagamos clic en esos anuncios mientras esperamos a que las conexiones se completen o mientras están funcionando.
El problema es que el canal a través del cual se gestiona la publicidad es siempre prioritario: nuestras conexiones a la información que queremos son más lentas que aquellas destinadas a presentarnos la publicidad en cuestión. Muchos servicios VPN gratuito ofrecen velocidades de conexión desesperadamente lentas, y/o desesperadamente inestables. Si habéis aprovechado estos servicios para acceder a servicios de streaming en EE.UU. como Netflix, puede que hayáis sufrido esos cortes continuos en las emisiones con esas VPN de dudosa procedencia.
El otro problema, mucho más preocupante, es el hecho de que existen servicios de este tipo que no son más que un reclamo para que crackers y grupos de ciberdelicuentes puedan tener acceso a nuestros ordenadores. A veces ocurre incluso con empresas aparentemente legítimas como Sensor Tower.
Los atacantes, con amplios conocimientos en este segmento, ponen en marcha un servicio VPN que publicitan como gratuito, comienzan a recibir las peticiones de servicio, y logran infiltrarse en los ordenadores de esos usuarios para obtener datos sensibles como por ejemplo información sobre tarjetas de crédito.
Y de repente los servicios dejan de funcionar y aparecen los sustos en las cuentas bancarias de los afectados. Existen de hecho sitios web que tratan de analizar la validez de estos servicios como VPNRanks y que entre otras cosas revelaron los problemas que han existido con Hola.
O bien continúan actuando y se comportan como base de un gigantesco ataque MitM (Man-in-the-Middle) que puede sustraer enormes cantidades de datos de todos esos usuarios.
A partir de ahí, posibilidades infinitas para esos atacantes, que pueden modificar los datos que nos llegan en nuestras sesiones de navegación "disfrazando" las webs de destino y cambiándolas por otras, o pueden inyectar todo tipo de información y malware en nuestros ordenadores sin que nos enteremos.
Ese mismo principio es el que se puede aplicar a esas botnets que en realidad se crean cuando uno accede a una VPN. El responsable del servicio cuenta con la enorme responsabilidad de gestionar todas esas conexiones protegidas, y todo ese ancho de banda gestionado permite que como en el citado caso de Hola sus responsables reaprovechen esa botnet para ofrecer esa capacidad a usuarios de pago. Que pueden ser a su vez ciberdelincuentes en busca de botnets baratas con las que realizar sus ataques, por supuesto.
¿Qué debe proporcionar un buen servicio VPN?
Parece evidente que los servicios VPN gratuitos son una puerta abierta a los problemas, y si alguna vez utilizáis uno de ellos o lo habéis utilizado, estaréis expuestos a esos riesgos. Las empresas que cobran por este tipo de servicios no es que estén exentas de problemas, desde luego, pero las garantías de contar con un servicio más recomendable son mucho mayores.
Y sin embargo, pueden ocurrir cosas como la que le ocurrió a Cody Kretsinger, un hacker del grupo LulzSec que fue uno de los responsables de los ataques que los servidores de Sony Pictures Entertainment sufrieron en 2011. Kretsinger utilizaba una VPN muy popular llamada HideMyAss (el nombre es bastante descriptivo) para esconder esos ataques que realizaba para acceder a servidores controlados por Sony Pictures.
El problema es que HideMyAss registraba las IPs de los usuarios y sus horarios de entrada y salida del servicio. Una corte del Reino Unido exigió a HMA que le ofreciera esos datos para investigar los ataques, y eso permitió a la justicia identificar y arrestar a Kretsinger.
Aunque los proveedores de estos servicios son capaces -aunque no deberían hacerlo- de monitorizar toda la actividad web de los usuarios, lo que sí suelen hacer es registrar esas IPs y esas horas de entrada y salida del servicio. Eso implica un grave riesgo para quien precisamente trata de usar esos servicios para proteger su privacidad.
Así pues, a la hora de buscar una VPN que nos garantice esa privacidad necesitaremos leer atentamente los términos de servicio de ese proveedor para comprobar si esa información queda o no registrada, y durante cuanto tiempo.
Muchos VPN indican que solo almacenan la información personal necesaria para crear una cuenta y procesar el pago, pero destacan que no registran esas direcciones IP, esos horarios o el uso del ancho de banda que hemos hecho durante las sesiones. No solo eso: permiten pagar con criptomonedas como bitcoin, algo que añade un grado más de seguridad y privacidad en esa transacción si realmente queremos proteger nuestra identidad.
Si usáis un servicio de este tipo con la idea de poder ver emisiones de servicios de streaming, por ejemplo, lo más importante es que esos servicios os ofrezcan esas "ubicaciones de salida" que simulen que vuestro ordenador está en Estados Unidos, en China, o donde proceda.
Aquí también puede resultar interesante contratar los servicios de un proveedor VPN que esté fuera de nuestro país para evitar mayores problemas legales de los necesarios, por lo que si el proveedor tiene múltiples servidores localizados en distintas partes del mundo, éste resulta más interesante a la hora de garantizar nuestra privacidad y seguridad.
Temas como las características de filtro anti-malware o anti-spyware son también importantes, como también lo es -y cada vez más- el uso de servicios que proporcionan características especiales para dispositivos móviles. Mucho más técnica resulta la comparación de los distintos protocolos utilizados en servicios VPN (PPTP, L2TP, OpenVPN, SSTP, IKEv2), y en general los expertos parecen recomendar especialmente OpenVPN y precisamente destacan que mejor no fiarse mucho de PPTP.
Con todos estos datos quizás podáis valorar mejor lo importante que es elegir no solo un VPN de pago, sino uno que se adapte a vuestras necesidades de la forma adecuada. En TorrentFreak realizaron una comparativa de servicios recomendados hace unos meses que puede servir como referencia para los que estéis interesados en este tipo de soluciones.
Cuidado con las VPN gratuitas, incluidas las apps y servicios móviles
Tendréis también que tener en cuenta estos riesgos en ese otro segmento de VPNs que están disponibles para conectarnos de forma teóricamente segura desde smartphones de todo tipo. Un estudio de CSIRO realizado en agosto de 2016 mostraba cómo cerca del 40% de aplicaciones gratuitas de VPNs para Android contienen malware, y entre ellas están algunas de las más populares.
De hecho esas VPN gratuitas no solo pueden tener malware embebido, sino que también pueden monitorizar nuestra actividad y hacer seguimiento de todo lo que hacemos en nuestros dispositivos para luego vender esos datos a otras empresas. A principios de 2019 un estudio revelaba que el 25% de los servicios VPN más populares en Android tenían fallos de seguridad y privacidad.
Aplicaciones como Hotspot Shield incluso redirigen peticiones HTTP a sitios de comercio electrónico como Alibaba o eBay y "secuestran" nuestras sesiones de navegación, entre otros riesgos. Aquí lo ideal es recurrir a un servicio de pago con buena reputación como los que revela la comparativa antes enlazada de Torrentfreak o esta otra del blog especializado Restore Privacy.
Algunos navegadores comienzan a integrar servicios VPN propios: Opera lo hizo hace meses, primero en el PC y luego en Android. Firefox ha seguido sus pasos y hace unos días anunció que tras unas pruebas preliminares ofrecerá también este servicio, aunque para usarlo habrá que pagar una suscripción: una interesante alternativa viniendo de una empresa como Mozilla, sin duda.
En el caso de Firefox la opción es interesante y su modelo de pago validan un modelo que probablemente ofrezca más garantías que cualquier VPN gratuita, y en Opera, aun siendo una VPN grauita, la oferta es también más fiable que la de esos proveedores que aparecen por doquier con dudosas ofertas. Así pues, en ambos casos las alternativas no son en absoluto desdeñables.
Imagen | Petter Lagson En Genbeta | Las VPN son seguras, pero no infalibles
Ver 37 comentarios