Las VPN son menos seguras de lo que crees

Cargando reproductor

Según una encuesta publicada por la empresa tecnológica NordVPN en diciembre de 2023, en Italia alrededor de una cuarta parte de las personas que navegan por Internet utilizan un servicio VPN. El acrónimo significa Red Privada Virtual, o “red privada virtual”, y es esencialmente un software que se utiliza para crear un canal seguro para la transmisión de datos a través de Internet. En definitiva, forman un túnel digital y cifrado entre el dispositivo desde el que se conecta el usuario (un ordenador, una tableta, un smartphone) y un servidor remoto, enmascarando al mismo tiempo la dirección IP desde la que se conecta el usuario. Las empresas suelen utilizar esta tecnología para permitir que sus empleados que se conectan de forma remota -porque están de viaje, o porque trabajan desde casa- puedan conectarse a la red de la empresa.

Las VPN utilizadas por los usuarios cotidianos se basan en la misma tecnología, pero se utilizan para propósitos completamente diferentes. En particular, son uno de los métodos más inmediatos y conocidos para eludir cualquier limitación geográfica y, por tanto, ver películas presentes en el catálogo de una plataforma de streaming únicamente en otro país, o visitar sitios estadounidenses que normalmente no están disponibles. accesibles desde Europa porque no cumplen la normativa comunitaria sobre tratamiento de datos personales.

Pero desde hace años se ha consolidado la idea, a menudo respaldada por las mismas empresas que desarrollan las VPN, de que su uso ayuda a proteger aún más la privacidad en línea y aumentar la seguridad de los dispositivos: la encuesta de NordVPN dice que el 37 por ciento de los usuarios de VPN italianos afirman utilícelos principalmente por este motivo.

La realidad, sin embargo, es más compleja: en el caso de las VPN corporativas, en los últimos años varios expertos e investigadores han identificado cientos de vulnerabilidades (es decir, defectos de programación y debilidades que facilitan comprometer la seguridad de un software), incluso en algunas de los servicios VPN más populares. Ya en 2020, la Agencia de Seguridad Nacional (NSA) de EE.UU. había hecho circular un comunicado en el que recordaba a todos, pero especialmente a las empresas, que las VPN a menudo pueden resultar especialmente vulnerables a los ciberataques. E incluso cuando se trata de uso individual, varios expertos temen que los usuarios confíen demasiado en el nivel de protección que pueden ofrecer las VPN.

Los primeros protocolos VPN se adoptaron a principios de la década de 2000 con el objetivo principal de permitir a los empleados de grandes empresas conectarse a la red interna incluso de forma remota, manteniendo un cierto estándar de seguridad y confidencialidad de la información. Anteriormente, para evitar que personas no autorizadas accedieran a la red interna, las empresas alquilaban redes privadas de transporte de datos, separadas de la Internet pública.

Estas redes se construyeron sobre líneas de Internet dedicadas y estaban aisladas de la Internet pública más amplia, pero su mantenimiento requería mucho dinero: las VPN, por otro lado, permitían a los empleados acceder a la red interna de su empresa de manera bastante segura mientras usaban una Internet pública. Sólo años después la tecnología comenzaría a ser utilizada por particulares ajenos a las empresas por distintos motivos (como, precisamente, eludir límites vinculados a la ubicación de la dirección IP). Sin embargo, incluso hoy en día, las VPN diseñadas para empresas deberían tener estándares de seguridad más altos que los utilizados por los usuarios comunes.

Sin embargo, en los últimos años el sector VPN corporativo se ha visto afectado con bastante frecuencia por noticias relacionadas con vulnerabilidades y ataques. Hace unos días Cisco Talos, un grupo de investigadores y analistas que se ocupa de ciberseguridad e inteligencia dentro de la multinacional estadounidense Cisco Systems, informó que durante el último mes se ha producido un aumento masivo de ciberataques contra varios servicios VPN corporativos populares, incluido Fortinet. , Punto de control y SonicWall. Además, entre 2020 y 2024, la cantidad de vulnerabilidades cibernéticas encontradas en los servicios VPN aumentó en un 875 por ciento, según estimaciones. Al menos doscientos han sido explotados por actores criminales o maliciosos para atacar a los usuarios o a las empresas para las que trabajan.

Hay muchas razones, empezando por un enorme aumento en la atención de los piratas informáticos, grupos criminales y entidades estatales hacia las VPN, que en el peor de los casos, si se violan, pueden permitir a los atacantes acceder a toda la red de una empresa. Esta atención también ha aumentado desde 2020 también porque un mayor número de personas ha comenzado a trabajar de forma remota, multiplicando la superficie potencial de ataque.

«Hay que tener en cuenta que estamos hablando de un software muy complejo que por definición está expuesto en Internet. A menudo son lo único que una empresa muestra públicamente. Pero esto también significa que la vulnerabilidad más pequeña, tal como está expuesta en Internet, se vuelve crítica”, explica Roberto Clapis, un experto en ciberseguridad que, entre otras cosas, trabaja desde hace mucho tiempo para Google. «Tan pronto como se conoce una vulnerabilidad, lo primero que hacen los atacantes es utilizarla en todos los servidores que probablemente utilicen ese software, para intentar entrar en las redes internas de las empresas. Y una vez que están dentro, todo el modelo de seguridad desaparece”.

– Lea también: Los ciberataques pueden ser perjudiciales para la salud

A esto se suman los problemas que ya existen, empezando por el hecho de que muchas VPN se basan en protocolos ya bastante anticuados, que incluyen estándares criptográficos obsoletos y, por tanto, menos sólidos y más conocidos por los atacantes. Muchas empresas eligen entonces su VPN de forma bastante superficial, limitándose a utilizar las que se ofrecen dentro de paquetes digitales más grandes adquiridos por la empresa.

Esto se convierte en un problema, especialmente si las empresas se convencen de que usar una VPN es suficiente para proteger su sistema, sin preocuparse por establecer capas adicionales de seguridad, por ejemplo activando la autenticación multifactor cuando los empleados inician sesión.

«Las empresas muchas veces piensan desde la idea de que el software debe ser seguro porque todo el mundo lo utiliza. Pero no es raro que una empresa que produce software, consciente de que tiene un excelente posicionamiento en el mercado y, por tanto, venderá fácilmente su producto, no invierta mucho en mejorarlo o asegurarlo”, afirma Clapis. “Lo irónico es que las VPN son software potencialmente simples, y si mantuvieran esa simplicidad probablemente tendrían menos vulnerabilidades”.

En cuanto al uso privado de las VPN, las consideraciones a tener en cuenta son un poco diferentes. «Hasta hace unos diez años el principal motivo por el que se utilizaban fuera de la empresa estaba vinculado a la protección de datos. El estándar en línea era la comunicación en texto plano, y sólo unos pocos programas cautelosos cifraban la información. En ese contexto, el uso de una VPN hizo que la conexión a Internet fuera más segura”, explica el profesor Stefano Zanero, de la Universidad Politécnica de Milán. Por “cifrar” nos referimos al acto de convertir los datos transmitidos de una computadora a otra a un lenguaje codificado, de modo que cualquiera que intente interceptarlos los encuentre ilegibles o, incluso, cifrados.

«En los últimos años, sin embargo, prácticamente todos los software y aplicaciones que utilizamos han empezado a cifrar las comunicaciones, y este tipo de uso ha perdido un poco de sentido: todavía hay comunicaciones online que no están cifradas, pero son muy pocas», explica Zanero.

Por lo tanto, quedan dos usos principales que los individuos hacen de las VPN: “pretender” conectarse desde un país distinto de aquel en el que se encuentra y, por algún motivo, ocultar la dirección IP desde la que se conecta. «Sin embargo, ambas funciones se basan en un gigantesco compromiso», afirma Zanero. «El proveedor de servicios VPN es lo que en la jerga se llama un “elemento de confianza”, es decir, es alguien en cuyas manos estamos poniendo nuestra conexión. Si la razón por la que lo estoy usando es que espero que mi privacidad esté protegida, dejar todo mi tráfico en manos de una empresa específica no es necesariamente una buena idea: tengo que estar seguro de que la empresa es muy honesta, confío. el que los mecanismos criptográficos subyacentes sean seguros y robustos. Y, si estoy usando una VPN con la esperanza de acceder a contenido que legalmente no puedo ver, como contenido protegido por derechos de autor, si la empresa está más o menos dispuesta a proporcionar datos de clientes a las autoridades”.

Sin embargo, es mucho más frecuente que los usuarios elijan su VPN basándose en criterios muy diferentes, como si es gratuita o si la interfaz es fácil de entender y navegar: «Así que, si tengo que venderos mi VPN, está claro que lo haré». No nos centramos en la seguridad y robustez del sistema, sino en su usabilidad”, añade Zanero.

– Lea también: Los antivirus informáticos están cada vez más obsoletos

PREV El PlayStation Showcase está cerca: “podría suceder en cualquier momento”
NEXT Helldivers 2: Arrowhead pregunta a los jugadores si posponer el nuevo título de guerra con una encuesta