La generalización de las VPN

IMAGE: lculig - 123RFLa reciente decisión de eliminar las protecciones a la privacidad de los usuarios de internet de la mayoría republicana en el congreso y el senado norteamericanos y permitir a los proveedores de acceso, auténticos ganadores de la batalla, comerciar con los datos de navegación de sus clientes, va a provocar un importante incremento del uso de una herramienta, las redes privadas virtuales o VPN, que desde hace tiempo deberían formar parte de la caja de herramientas habitual de todo usuario de internet. Por el momento, ya se ha generado un incremento en el número de búsquedas relacionadas con el tema.

La resolución gubernamental norteamericana desprotege completamente al usuario, y es una impresionante prueba de hasta qué punto el dinero juega un papel importante en la política norteamericana: hablamos de compañías que han literalmente adquirido esta ley pagando directamente a una lista de congresistas y senadores, en una auténtica normalización de una corrupción que no por constar de manera supuestamente fidedigna en un registro deja de ser menos vergonzante. Ningún ciudadano de los Estados Unidos razonablemente informado consideraría esa medida como algo bueno o positivo para sus intereses, porque únicamente sirve para legitimar un negocio de venta de sus intereses y hábitos de navegación por parte de las empresas de telecomunicaciones.

¿Es importante esto fuera de los Estados Unidos? Aparentemente, las empresas de telecomunicaciones de otros países como España parecen estar tomando decisiones sensiblemente más avanzadas en cuanto a la gestión de la privacidad de sus usuarios, aunque en este tema pueda aún quedarnos mucho por ver y por demostrar, y esa trayectoria pueda verse afectada por la deriva norteamericana de desprecio total a la privacidad. Más allá de un «cuando las barbas del vecino veas pelar…», sin embargo, cabe pensar que nos encontramos ante una evolución que va a afectar a los principales actores de internet – dado el protagonismo en este ámbito de las compañías norteamericanas – y que, mientras no medien cambios en la manera en que los principales actores de la red protegen a sus usuarios, deberíamos ir preparándonos para un escenario sensiblemente diferente, en el que todo lo que hacemos está directamente en venta al mejor postor.

¿Puede la tecnología protegernos de un escenario así? Pese a los alarmantes titulares de alguna publicación habitualmente bien informada al respecto, parece claro que, cuando menos, puede contribuir. Comenzando por la instalación de HTTPS Everywhere, siguiendo por plantearnos el uso de Opera como navegador, y continuando con la elección de una VPN adecuada. En este sentido, ayudará el ser consciente de que una VPN va a suponer un gasto adicional que añadir a nuestra conexión a internet, pero que seguramente sea un gasto muy bien justificado. A día de hoy, el simple hecho de utilizar una WiFi pública o compartida con usuarios desconocidos nos expone a un riesgo suficientemente elevado como para que nos planteemos no salir de casa sin la VPN preparada para entrar en acción. Yo hace ya bastantes años que no lo hago, y la idea de que no somos personas especialmente importantes o sensibles para ser espiadas no debería engañarnos en ese sentido: todos, en algún momento, intercambiamos a través de nuestra conexión datos susceptibles de ser utilizados para meternos en algún lío, cuando no directamente peligrosos y codiciados.

Para escoger una VPN, recomiendo la comparativa que todos los años lleva a cabo TorrentFreak: la idea no es simplemente que la VPN cifre nuestros datos, sino que además, esté realmente dispuesta a protegernos mediante prácticas como la de no retener esos datos en un registro. Esto obliga a confiar en proveedores o bien radicados en países que no obliguen a dicha retención de datos, o bien que tengan una mentalidad y cultura empresarial inequívocamente opuesta a ello. Hay de todo: desde proveedores orientados claramente al anonimato, hasta otros especializados en proteger actividades como el intercambio de archivos en redes P2P, y por eso es importante tener en cuenta que las VPN son prácticamente siempre mejores cuando son de pago y no gratuitas – gestionar una VPN cuesta dinero, hay que mantener nodos en un número razonable de países para ofrecer una conexión con una latencia adecuada, hay que estar muy al día en seguridad, etc. – y que tampoco parece muy recomendable optar por un proveedor que parezca muy inclinado a permitir prácticas que puedan ser consideradas delictivas, dado que eso añade la posible inestabilidad de que en algún momento caiga por ser objeto de algún tipo de demanda.

Con esos pronunciamientos, creo que es importante entender que las VPN van a convertirse cada vez más en una herramienta necesaria para moverse por la red, y que si no lo habéis hecho aún, sería buena cosa que comenzaseis a estudiar el panorama y a plantearos optar por alguna en concreto, porque esto posiblemente redunde en un nuevo mapa competitivo. Dado que muchas VPN ofrecen contratos a largo plazo, en muchas ocasiones de más de un año, contar con una de confianza y con un funcionamiento ya probado puede ser una buena manera de comenzar. Como ya comentamos hace mucho tiempo, internet está evolucionando para convertirse en una red en la que la inmensa mayoría del tráfico va a circular permanentemente cifrado, en una calle por la que todos circulamos con la cara tapada, y no parece que haya ningún remedio que vaya a impedir que esto sea así. Pronto, los únicos que circularán por la red exponiendo sus datos serán aquellos suficientemente ignorantes como para no saber protegerse, que serán las víctimas de todo tipo de prácticas abusivas y, posiblemente además, los más expuestos a la delincuencia. Yo tendría cuidado y procuraría no quedarme en ese grupo…

 

 

This article was also published in English at Forbes, “The upcoming spread of VPNs» 

 

9 comentarios

  • #001
    Gorki - 29 marzo 2017 - 13:38

    Un nuevo negocio posible, para quien lo quiera montar, CENTRAL ANONIMIZADORA TOTAL

    Un sitio en que con cada cliente se establece una clave única y personal indescifrable para nadie excepto el cliente la pueda utilizar, Lo mas sencillo es utilizar claves de uso único muy fáciles de construir a partir por ejemplo de la colección de decimales de PI, Por ejemplo una formula a parir del dia, hora y minuto del mensaje genera un número, como puede ser el 127342, para ese cliente tomar uno de cada 5 en dirección inversa sumando 1 al resultado, y cundo se acaben, en sentido ascendente sumado 3 etc hata sobrepasar el tope etc. Para otro de ese numero al decimal tres veces mas allá y hacer lo mismo primero ascendente y luego descendente.

    Se suma el octeto, al octeto a mandar y enviar el mensaje precedido de fecha y hora para descifrarlo se hace el proceso inverso.

    Los clientes me envían sus comunicaciones que salen cifradas de su ordenador y se las decodifica, se hace la petición del cliente a la red y se reenvia codificada la respuesta.

    Evidentemente entre cifrado y descifrado de comunicaciones y pasos intermedios de la comunicación se pierde un poco de velocidad, pero es admisible si las comunicaciones cliente centro de mensajes son por fibra óptica.

    Para complicar mas la cosa, cuando no haya muchos mensajes que servir de los clientes la central de comunicación realiza solicitudes aleatorias a la red y además cliente y central se envían mutuamente mensajes aleatorios codificados en las fases bajo uso que los sistemas de ambos identifican sin problema porque por ejemplo en los puestos 8 17 y 35 una vez descifrado aparece el símbolo ¬ y como tales de forma automática se eliminan.

    Con ello llenamos las vías de «ruido», muy difícil de diferenciar de los mensajes cifrados, saturando cualquier sistema de descifrado que se desee emplear, incluido los ordenadores cuánticos, (no hay mayor trabajo que descubrir que un mensaje cifrado es un conjuntos de letras aleatorias) y por otra parte, no habrá forma de saber si las solicitudes de los clientes a la central o de la central a la red, la realizan un cliente o los bots que tanto unos como otros tienen,

    Solo hace falta que en el mercado existan suficientes conspiranoicos, como para que este negocio de otra parte muy sencillo de crear sea rentable.

    Lo mismo se puede hacer para teléfonos móviles, pero áqui penaliza la velocidad de las comunicaciones, habrá que esperar al 5G.

    Lo único que en ese caso no se puede ocultar es la posición calculada a partir de las triangulaciones de antena, Lo que se me ocurre, es que los teléfonos sean del negocio anonimizador y se les cambie periódicamente de forma automática, por ejemplo cada diez minutos, el contenido del chip que sustituye a la tarjeta del teléfono, algo que ahora se puede hacer de forma online. Si tienes suficientes clientes en una misma zona será muy difícil, (aunque no imposible, todos vuelven a su domicilio), seguir el rastro de los clientes. Siempre es mas difícil ocultar tus trayectoria que tus mensajes, tan solo se precisa que seguir tus huellas valga una cierta cantidad, Si es muy barato seguiran a todos de forma masiva con seguridad. Si seguirte vale aun que sólo sea 2 cnt, Seguir a todos los ciudadano anónimos acaba con cualquier presupuesto. Es la tecnica de ocultar la aguja en el pajar.

    • Enrique Dans - 30 marzo 2017 - 09:45

      Gorki, aquí tienes tu «teoría del ruido» en Wired, «Wanna protect your online privacy? Open a tab and make some noise«. Incluso habla de un servicio que autocarga páginas al azar para llenar de ruido los sistemas de perfilado, Internet Noise

      • Gorki - 30 marzo 2017 - 17:19

        Para proteger mi intimidad, durante un tiempo estuve suscrito a un servicio, en el que el salva pantallas hacia visitas aleatorias a un a colección de direcciones de personas suscritas al servicio,

        Como yo quería conocer cual era el numero de visitas reales que tenía mi blog, las visitas que me correspondían las encergué para un blog de un primo mio, que estaba asombrado el éxito inesperado de un plog personal y sin pretensiones. Nunca le he contado la verdad, ¿para qué?

  • #004
    nunes - 29 marzo 2017 - 13:50

    ¿Qué opinas de TOR? No la he usado más que para hacer alguna prueba ¿podría ser una alternativa a las VPN de pago?

  • #005
    Carlos Quintero - 29 marzo 2017 - 14:04

    Pues lo de las VPNs será una cosa más a tener en cuenta e ir estudiando como indicas, pero de ahí a que se vayan a generalizar… el usuario medio sigue sin distinguir «Internet» del «navegador», ni la «web» de «Google», ni http de https («el candadito»…) ni conoce los bloqueadores de publicidad. Por no mencionar que su privacidad le importa entre poco y nada. Si tiene que pagar una VPN para eso ya ni te cuento… (¿ofrecerán los proveedores de acceso al usuario la posibilidad de pagar para no vender los datos? ¿le ofrecerán el servicio de VPN ellos mismos?…)

    Por el lado profesional también queda trabajo por hacer. Yo tengo que estar «evangelizando» e insistiendo a mis equipos para que propongan siempre a nuestros clientes https, 2FA, etc. en las aplicaciones web con acceso desde Internet, y cuesta por ambos lados. Los navegadores ya empiezan a indicar cuando no estás usando https, especialmente en páginas de login, a ver si ayuda.

    Y a nivel de proveedores de alojamiento también queda trabajo por hacer: mi última experiencia ha sido comprar un certificado SSL al proveedor de hosting de uno de mis sitios web para descubrir que como tengo la opción de alojamiento «WordPress» y no la de alojamiento completo, no se puede. Me han devuelto el dinero, pero ahora tengo que ir buscándome otro proveedor…

  • #006
    Roberto - 29 marzo 2017 - 14:33

    Coincido con casi todo lo dicho en este artículo, y con la progresiva necesidad de agregar los servicios de VPN a nuestra cartera tecnológica habitual. Sin embargo, disiento importantemente de la recomendación de utilizar Opera como navegador orientado a la privacidad: utilizar un navegador de código cerrado, cuyo comportamiento real el usuario desconoce, puede ayudarte a no ser espiado por terceros, pero nada impide que te espíe la compañía que programa el navegador. De cara a la privacidad de la navegación, lo primero es asegurarse de que el código del navegador es público y auditable, para poder estar razonablemente seguro de que el propio navegador no es una herramienta de espionaje.

    Un saludo.

  • #007
    marcelo - 29 marzo 2017 - 17:26

    Políticos vendiendo a sus representados a 4 empresas a cambio de unos poquitos dólares? No puede ser, esas cosas no pueden pasar en la tierra de la libertad.

    Después de la lectura del post me he puesto a trastear en el Opera y he descubierto que dispone de una VPN gratuita (Ajustes> Privacidad y Seguridad> Activar la VPN) . Instalada queda, aunque mi supina ignorancia me impide saber si realmente sirve para algo. Instalada también la extensión HTTPS Everywhere.

    Saludos.

  • #008
    menestro - 29 marzo 2017 - 23:09

    Ya, Enrique, pero el análisis no es aplicable a Europa.

    En la UE la nueva ley de protección de datos, impide recolectar datos y metadatos a los ISP sin una autorización explicita, y no vinculante a la prestación del servicio.

    Por eso Telefónica, ha tenido que montar ese paripé, para poder utilizar los datos de conexión mediante el consentimiento previo y mediante la utilización de una App.

    Las VPN solo son un recurso paliativo, ya que este tipo de cuestiones referentes a derechos fundamentales, como es el secreto de las comunicaciones y todos los metadatos asociados, se deben instaurar desde la defensa de los usuarios de esos servicios, no mediante una circunvención tecnológica.

    Son derechos fundamentales, sujetos a especial protección.

    La GDPR impide cualquier vulneración y establece una pauta a seguir en la protección de datos de carácter personal, que debe estar instaurada de forma perentoria por todos los países firmantes de la UE en Mayo de 2018.

    E incluye a las empresas que se acogen al acuerdo de protección de intercambio de datos que ha sustituido al Safe Harbor, el Privacy Shield, que obliga a todas las empresas de EE.UU que prestan servicios en Europa.

    Y eso, sin tener en cuenta que el protocolo IPV6 instaura el cifrado de punta a punta, como un estándar en todas la comunicaciones de internet y que, se ira adoptando de forma paulatina, según empiece a formar parte de los protocolos de implantación en los ISP europeos y de otros países.

    The Trump effect on Privacy Shield


    Fear not, Europe’s Privacy Shield is Trump-proof

    Trump order strips privacy rights from non-U.S. citizens, could nix EU-US data flows


    (Y no, evidentemente, no hay fuentes de información en castellano. Aquí, nadie se da por enterado de la nueva normativa Europea)

  • #009
    Miguel A. Tovar - 9 abril 2017 - 18:48

    …I don’t recommend signing up to a VPN service. You can’t trust them.

    …it doesn’t make you magically anonymous. You’re just moving the risk down the VPN tunnel as the VPN company can see all your internet traffic. In fact, many of them sell your data to scammers and advertisers already.

    Fuente:
    How I made my own VPN server in 15 minutes  

    Lectura recomendable.

Dejar un Comentario

Los comentarios están cerrados