Una red privada virtual, o VPN –del inglés Virtual Private Network-, es una gran herramienta para proteger la propia privacidad y seguridad al utilizar Internet. Estas redes ofrecen una capa adicional de cifrado y autenticación, y no deberían ralentizar de manera notable los procesos de usuario como subida o bajada de datos –ciertamente no en la manera en que un proxy puede hacerlo.
En publicaciones anteriores ya hemos visto qué es y cómo funciona una VPN para la privacidad de la información; sin embargo, como cualquier otra tecnología, existen vulnerabilidades a tener en cuenta al momento de su implementación.
Principales vulnerabilidades
Comunicaciones no cifradas y parcialmente cifradas suelen no ser consideradas como un objetivo atractivo. Cuando los atacantes escanean actividad en Internet, pueden mostrar especial interés en las redes VPN, ya que sus comunicaciones generalmente implican datos lucrativos y sensibles pertenecientes a redes internas, a menudo incluyendo información bancaria y de tarjetas de crédito.
Además, los dispositivos que se utilizan para implementar VPNs generalmente pueden ser fingerprinted al revelar abiertamente las marcas y modelos particularmente utilizados. Cuando estos son conocidos por un atacante, éste puede investigar las vulnerabilidades específicas para ese dispositivo.
Al igual que con cualquier otro sistema que requiere un nombre de usuario y contraseña de autenticación, si se utilizan credenciales inseguras, éste será el punto más débil. Es debido procurar contraseñas robustas –que no contengan palabras reales en lenguaje humano, con una combinación de mayúsculas y minúsculas, números y caracteres especiales, y que se acerquen tanto a la longitud máxima como sea posible. Si cada nombre de usuario es la red es diferente y único, aún mejor. Si es posible, implementar una política que requiera cambiar las contraseñas cada aproximadamente seis meses.
Las comunicaciones VPN están también sujetas a ataques Man In The Middle (MITM), como cualquier otra comunicación de la red. Es necesario asegurar que la solución utilizada tiene un sistema específico para prevenir MITM: no volverá a este tipo de ataques imposible, pero al menos los hará mucho más difíciles.
El bloqueo de cuentas luego de un cierto número de intentos de acceso fallidos es una buena práctica. De lo contrario, es más fácil romper la comunicación VPN con suficiente poder de cómputo y tiempo.
Eligiendo el servicio más adecuado
La oferta de servicios de VPN –entre otras herramientas de privacidad y confidencialidad- es tan vasta, que en un principio puede resultar confuso para usuarios no versados en la materia. Algunos factores a tener en cuenta al elegir un servicio de VPN son:
- Protocolo usado: OpenVPN (SSL/TLS), L2TP, L2TP/IPSec, SSTP y PPTP, son algunos protocolos VPN conocidos. Estrictamente, cada uno de ellos tiene sus ventajas y desventajas. Probablemente, las vulnerabilidades de PPTP sean las más conocidas, y aunque han sido parcheadas mediante el protocolo PEAP, se aconseja valerse de otro protocolo. OpenVPN o IPSec son siempre recomendados, especialmente al proteger información verdaderamente sensible.
- Mantención de registros: no todos los servicios de VPN son tan anónimos como dicen. Sus comunicaciones podrán ser confidenciales a otros, pero no a sus propios equipos en la misma red privada. Es fundamental estudiar a fondo las políticas de registro del proveedor antes de aceptar sus servicios. Los proveedores de VPN libres son más propensos a registrar actividades para mostrar anuncios contextuales.
- Ubicación geográfica: Dependiendo del uso otorgado a esa VPN, y de constatar la política de registro del proveedor, será más o menos importante considerar la localización de los servidores, y por tanto, las leyes locales y políticas gubernamentales a ser acatadas por los mismos.
- Protección frente a malware: Algunos proveedores de servicios asocian a sus clientes con escáneres anti-malware para asegurarse de que éstos no están descargando virus o troyanos.
Una lista recientemente actualizada (en inglés) de los servicios más conocidos y sus correspondientes políticas puede ser encontrada aquí.