Lo que debes saber antes de pasar a VPN

Amenazas

Hemos llegado al último capítulo de nuestro curso de “Introducción a las VPN” y vamos a ir más allá de la típica jerga técnica sobre las VPN. Cubriremos algunos problemas técnicos y legales que están directamente relacionados con el uso de las VPN y, finalmente, te daremos algunos consejos prácticos.

vpn-part-3-featured

Aspectos técnicos

Si eres observador, recordarás que en ediciones anteriores de nuestra serie de posts hemos hecho especial énfasis en la correcta implementación, configuración y uso de todo tipo de VPN. Incluso la versión más fiable del protocolo pude ser inútil si no se utiliza apropiadamente.

Todas las soluciones de VPN que hemos tratado tienen algo en común: todas incluyen implementaciones de código abierto, que deberían ser más fáciles de verificar si tienen vulnerabilidades. Sin embargo, en realidad existen otros problemas y peculiaridades además de aquellas que figuran en el código.

El problema más obvio es la desconexión ocasional de la VPN que, de repente, dirige el tráfico a través de una red pública. Por ejemplo, esto podría suceder cuando un usuario se conecta a una red wifi pública o a cualquier otra red móvil disponible. El peor de los casos se da cuando el usuario no es notificado y la conexión VPN no se reestablece automáticamente.

Para las versiones de Windows 7 en adelante, Microsoft ha introducido la función de reconexión VPN. En caso de que utilices una plataforma alternativa, necesitarás aprovecharte de la planificación de ruta personalizada o la función llamada “kill switch”. Esta función monitoriza el estado de la conexión VPN. Si se pierde, el tráfico se bloquea, todas las apps en funcionamiento se detienen y se intenta reestablecer la conexión VPN. Algunos clientes comerciales  de VPN ofrecen una funcionalidad similar.

En segundo lugar, la fuga de VPN, que es menos frecuente, está relacionada con el protocolo IPv6. Aunque el IPv6 se usa poco, la mayoría de sistemas operativos lo tienen activado por defecto, mientras que la VPN generalmente utiliza IPv4.

Lo que podría suceder en estos casos es que, cuando el protocolo PIv6 es soportado en una red pública y el cliente se conecta a una fuente que utiliza la misma versión que el protocolo, el tráfico se dirige por defecto a una red IPv6. La medida más simple sería desactivar el soporte de IPv6 a nivel del sistema.

Claro que se podría dirigir todo el tráfico hacia una VPN, pero requeriría un soporte por parte del servidor y ajustes particulares por parte del cliente. La investigación llevada a cabo en 2015, dió a los proveedores de VPN un pequeño empujón para que empezaran a buscar soluciones apropiadas para sus clientes.

La investigación también cita el tercer problema: fuga de DNS (Sistema de Nombres de Dominio). En el mejor de los casos, cuando un usuario se conecta a una VPN, no todas las solicitudes de DNS deberían dejar la red VPN y ser procesadas por los servidores DNS correspondientes. De lo contrario, los servidores conocidos de confianza como Google Public DNS o OpenDNS deberían ser configurados en la red durante la instalación. Como alternativa, se puede utilizar la VPN a la par con servicios como DNSCrypt. Este último sirve para cifrar y verificar la autenticidad de las solicitudes/respuestas DNS, el cual también puede ser muy útil en muchos otros casos.

En la vida real, esas recomendaciones no suelen seguirse y la gente utiliza los servidores DNS ofrecidos por la red pública. Seguramente, la respuesta obtenida por esos servidores sea incorrecta o incluso falsa, lo que proporciona a los criminales una gran oportunidad para practicar el pharming. Como daño colateral de la fuga de DNS, la privacidad se vería comprometida: alguien podría descubrir las direcciones de los servidores DNS, descubriendo el nombre del ISP (proveedor de servicios de Internet) y la ubicación casi exacta del usuario.

Quienes utilizan Windows se encuentran en una situación aún más grave de lo que se puedan imaginar. Mientras que Windows 7 prueba todos los servidores DNS conocidos para conseguir una respuesta, Windows 8/8.1 hace las cosas más deprisa enviando solicitudes a todos los servidores DNS en todas las conexiones de forma simultánea. Si el servidor elegido no devuelve la respuesta en un minuto, se utiliza la respuesta de otro servidor. Sin embargo, en el caso de la VPN, la red podría tardar más en devolver una respuesta DNS. La buena noticia es que esta función puede desactivarse manualmente; la mala noticia es que, para hacerlo, hay que llevar a cabo una serie de manipulaciones del registro del sistema.

En Windows 10, las cosas son aún peor. Este sistema operativo también envía solicitudes DNS a todas partes y utiliza la respuesta más rápida. No hay buenas noticias en este caso, pero: esta función tan útil no puede ser desactivada a nivel del sistema.

También hay una seria vulnerabilidad en WebRTC. Esta tecnología, activada en el navegador, fue diseñada inicialmente para proporcionar un enlace directo entre dos nodos de redes y es principalmente utilizada para llamadas y vídeollamadas. Es muy probable que se produzca una fuga, ya que la WebRTC llama a todas las conexiones de red disponibles al mismo tiempo y luego utiliza la primera en responder.

La misma falta de control se puede encontrar en otras extensiones como Java o Adobe Flash, o incluso en todo el software. Además, al observar las formas de protección para el usuario en redes públicas, hemos visto estas suponen una seria amenaza para la privacidad.

Peculiaridades legales

El primer problema y el más importante de las VPN se basa en las diferencias de legislación de los diferentes países: un cliente de VPN puede estar en un país y un servidor de VPN puede estar localizado en otro, independientemente de lo amigable que este sea. Por lo tanto, el tráfico puede transitar a través de terceros países. Incluso si no quebrantas ninguna ley, tus datos podrían ser capturados y analizados en tránsito.

Resumiendo, es desconcertante saber que el tráfico seguro puede ser descifrado, incluso varios años después. El simple hecho de utilizar una VPN puede provocar una atención innecesaria por parte de las fuerzas de seguridad (¿qué pasa si alguien está escondiendo algo a través de esa VPN?).

Es posible que la VPN pueda utilizarse perfectamente, pero técnicamente el uso de dicha tecnología es limitada (ver ejemplos de una edición anterior o cualquier información disponible en PRISM).

Sin embargo, todos los problemas legales se originan principalmente por el uso de un fuerte cifrado, más que por una VPN. Es obvio que a cualquier país le gustaría proteger su propia información y apoderarse de los datos de otras personas, esta es la razón principal por la que la criptografía está tan regulada.

A diferencia de otros países, en Estados Unidos, un país líder en informática, la situación puede resultar curiosa. En primer lugar, los nuevos estándares de cifrado deben ser aprobados por la NIST (Instituto Nacional de Normas y Tecnología). Sin embargo, estos estándares varían en cuanto a resistencia: el cifrado es más resistente al mercado doméstico y es más débil para productos exportados. Lo curioso es que las compañías de hardware y software que luchan por conseguir contratos con los gobiernos deben seguir estas normas.

No necesitamos recordarte dónde se producen los sistemas operativos y los componentes de cifrado más populares, entre los que se incluyen los módulos VPN. Este problema es mucho peor que la probabilidad de las puertas traseras. Resulta que las tecnologías de red que prometen convertirse en estándares de la industria, podrían ser vulnerables desde un principio.

Como prueba, en 2013 el NIST fue acusado de haber permitido que la NSA utilizara una versión vulnerable de un generador de números pseudo-aleatorios como base para el nuevo estándar de cifrado. En teoría, este disminuiría el esfuerzo requerido para descifrar la información protegida.

Las sospechas empezaron a surgir unos meses después de que el nuevo estándar se publicara. Sin embargo, el regulador solía ser acusado de emitir descripciones sofisticadas para estándares y recomendaciones publicadas de forma deliberada. Los borradores de las descripciones eran tan confusos que, ni los profesionales del cifrado eran capaces de captarlos inmediatamente. Cabe destacar que la resistencia implícita y la seguridad son igual de importantes que la implementación práctica.

Conclusión

Para concluir con este post, me gustaría compartir un enlace muy útil: es una tabla que describe a los proveedores más populares de las VPN. Es muy fácil de usar: cuantas más celdas verdes contiene la fila, más fiable es el proveedor. Si estás pensando en utilizar una VPN pero no quieres estudiar la gran variedad de aspectos técnicos y legales, esta tabla es lo que necesitas. Lo más importante es seguir adecuadamente las indicaciones proporcionadas por el proveedor y tener en mente un sencillo mantra: Más vale prevenir que curar.