[15] LA VPN: UN TUNEL SECRETO

tunelVPN

Hoy retomaremos el hilo en torno a la vigilancia, la privacidad, la censura, y el anonimato; y vamos a revisar cómo es que funciona una de las herramientas más importantes para ejercer y preservar nuestras libertades digitales: la red privada virtual o VPN por sus siglas en inglés.

Nos acompaña un colega hacker, desarrollador y friki de ámbitos diversos, que se interesa también por temas de seguridad.

Yo soy Meskio, estoy dentro del proyecto LEAP trabajando como programador, picando código para Bitmask que es un cliente de VPN, y otras cosas.

. . .

Un túnel: un conducto abierto artificialmente para establecer una comunicación por debajo de algún obstáculo, y permitirnos llegar del punto A al punto B. La VPN es eso mismo, sí, un túnel. Un túnel oscuro y secreto entre nuestra computadora y otro lugar, por ejemplo un sitio web. VPN es un término que incluye a diferentes protocolos, lo que tienen en común todos ellos es la capacidad para conectarse remotamente a una red privada a través de una conexión pública (Le VPN). En otras palabras, una VPN establece una conexión segura protegiendo nuestro tráfico en internet de modo que nadie pueda rastrear nuestra actividad en línea.

Meskio lo explica así:

Meskio: La idea de una VPN básicamente es que tu conexión a internet, en vez de salir en el punto en el que te encuentras, de una forma segura salgas en otro punto diferente de internet. Se hace un túnel de cifrado entre tu máquina y ese punto de salida hacia internet, y todo tu tráfico pasa a través de ese túnel. De cara a los sitios que visites parece que el sitio del que estás proviniendo es ese punto de salida. Entonces, buscas un punto de salida que sea de confianza que provea algún proveedor seguro y demás, y consigues que sea más difícil encontrar de donde provienes, pero bastante más importante consigues que quien este observando la red alrededor tuyo no vea que tráfico y cosas estas visitando.

Ya sabemos que cuando navegamos por internet dejamos un sinfín de huellas, nuestra dirección IP queda registrada en los sitios que visitamos y nuestro proveedor de servicios de internet puede mantener registros de nuestro historial de navegación. Por lo general, este registro en sí mismo no es un problema, el problema viene cuando esos datos se analizan y derivan en información sobre nuestra actividad en línea. Los sitios que visitamos pueden exponernos a la atención no deseada de agencias gubernamentales o incluso de personas que estén siguiéndonos la huella quien sabe por qué motivos. Una VPN puede ocultar nuestras huellas de ojos de terceras personas que no queremos que tengan información sobre nuestra actividad en línea y agregar una capa adicional de seguridad al cifrar la conexión. Asegurar nuestra conexión a internet ayuda a prevenir ataques de malware y hacking, y fortalece nuestra privacidad digital.

Meskio: Principalmente creo que hay dos razones por las que usar una VPN. La primera es un poco lo que estaba mencionando antes, al hacer una conexión encriptada y no salir desde tu punto, quien este observando tu conexión no va a ver lo que haces. Entonces, por ejemplo, en mucho países como pasa en México, como pasa en España, el gobierno exige a las operadoras de telefonía que registren la información de quien habla con quien en internet todo el rato, entonces consigues un poco prevenir eso. Pero más es la realidad de la gente que nos conectamos en wifis públicas, que igual te sientas en un bar a conectarte a internet y en esas wifis es bastante común que pueda haber alguien escuchando, mirando a ver si puede conseguir acceso a través de tu conexión a tu correo electrónico, a tu banco, a otras cosas, entonces como que previenes que todos esos entes puedan escuchar y meterse en tus conexiones. La otra razón por la que utilizamos VPNs es para escapar de los bloqueos de contenidos en internet. La mayoría de los países deciden -me sorprendería encontrar alguno que no- que hay contenidos que son ilegales, que no deben de poder ser vistos en su país y los bloquean, y entonces a través de una VPN al salir a internet en otro lugar, en otro país, en otra localización, puedes acceder a esos contenidos que no son posibles de ver en el lugar en el que te encuentras.

La censura vulnera la libertad de prensa y de expresión: una VPN nos permite ocultar nuestra ubicación geográfica y así evadir la censura de contenidos geoconfinados. Algunos países con altos índices de censura son China, Arabia Saudita y Cuba. El informe de Ooni sobre la censura en internet de agosto de 2017, da cuenta por ejemplo de que existen 41 sitios web censurados en Cuba, predominantemente agencias de noticias críticas con el gobierno cubano. En otros lugares, como gran parte de Europa, se censuran bibliotecas científicas o trackers de torrents como PirateBay. Nadie se escapa a la censura, parece.

Las VPNs no son nada nuevo, desde el nacimiento mismo de internet ha habido una necesidad de establecer protocolos para mantener la información privada y segura. Ya por 1996 se empleaban las VPN ampliamente en el mundo corporativo, sin embargo a partir de los 2000 y con el elevado número de filtraciones sobre grandes brechas de seguridad en la industria del software, la percepción general sobre el riesgo en internet crece, de forma que aumenta la demanda de servicios seguros como las VPNs (Le VPN). Más y más usuarias se preguntan si necesitan una, y como conseguirla.

Meskio: Yo creo que se le está dando más importancia porque por un lado entendemos más las realidades y las vivimos más en nuestras carnes, osea los gobiernos empiezan a tener herramientas más sofisticadas con las que controlarnos, producen leyes que obligan a las operadoras a escucharnos, y entonces nos encontramos con que las internautas tenemos cada vez más una responsabilidad de buscar como evitar eso y como ponerles la vida un poco más difícil. Llega un punto en el que ya no es si yo estoy accediendo a contenidos que no quiero que sepa mi gobierno, sino una solidaridad a todas esas activistas que puedan necesitarlo para que no se les note, para que no sea diferenciador el hecho de que utilices una VPN. Me parece que ya lo habéis tratado varias veces en el programa, el uso de herramientas criptográficas es también solidaridad con esa gente que las necesita. También yo creo que cada vez se observa más internet, cada vez vemos -desde todo lo famosa que pueda ser la NSA- que a muchos niveles hay herramientas mucho más potentes para observar, cada vez la capacidad de almacenamiento es mayor y hay como una conciencia desde las empresas privadas hasta los gobiernos de que cuantos más datos almacenes mejor, que algún día pueden ser útiles, entonces almacenémoslos todos si podemos, y almacenémoslos todos es guardar toda la información de lo que haces en internet.

Si te suena familiar esta argumentación sobre privacidad y anonimato en línea, es porque ya hablábamos de esto en nuestro programa sobre Tor, una herramienta que nos permite navegar de forma anónima y segura por la red. Pero, ¿qué diferencia hay entre usar una VPN y usar el navegador Tor?.

Meskio: Ya tuvisteis un programa en el que hablábais de las ventajas de Tor, entonces es un poco como la primera pregunta de esto: ¿qué me aporta una VPN si Tor básicamente me estaba ya aportando esto?, me estaba protegiendo mi conexión, me estaba anonimizando para que no se me viera. Una VPN no provee el nivel de anonimato que puede estar proveyendo Tor. Un observador global, un ente -igual puede ser la NSA- que es capaz de observar internet en muchos puntos diferentes, podría ser capaz de trazar que esa comunicación por internet al final provee de tu ordenador. Siendo que con Tor es muy difícil de hacer, con una VPN es algo más fácil, no super fácil, pero es algo más fácil. La VPN te da por un lado comodidad en el sentido de que es mucho más rápido que Tor, porque Tor al final lo que estás haciendo es pasar por diferentes puntos de internet, entonces añadimos mucho retardo al dedicarte a saltar entre diferentes continentes, mientras que con una VPN solo tienes un salto y entonces la conexión suele ser mucho más rápida y mucho más fluida. Además la mayoría de los clientes de VPN como Bitmask, por defecto suelen buscar nodos de salida cercanos a donde tu estás para que la velocidad sea mayor, aunque te suelen permitir la opción de elegir y decir, "mira, ahora necesito acceder a un contenido que solo es accesible desde Canadá, y entonces quiero elegir una salida de Canadá". Entonces, sí, no todo es maravilloso y como siempre cuando hablamos de seguridad informática no podemos hablar de absolutos, de esto sí es seguro, esto no es seguro, osea esto te protege de una serie de cosas, y otras cosas no te protegen tan bien o no te protegen para nada.

Ahora bien, ¿las VPNs son verdaderamente privadas? ¿son enteramente seguras? La verdad es que no. Recordemos que no hay herramienta que nos proteja al cien por cien, pues la seguridad en línea no es un producto, sino un proceso. Cuando decimos que no hay una VPN verdaderamente privada nos referimos a que el proveedor que hayamos escogido aún puede registrar nuestros datos de navegación, y cuando hablamos de datos en este caso nos referimos básicamente a la captura y custodia de logs, o registros de actividad. Quien guarda logs, tiene el poder sobre tí, como queda recogido en la famosa frase "no logs no masters".

Meskio: Es un poco un juego de palabras con esa frase clásica del anarquismo de que no queremos dioses ni maestros ni jefes. Los logs son un registro que hay dentro de los servidores en los cuales se guarda la información de quien se conecta, donde se conecta, que se hace. Entonces una de las cosas importantes cuando buscamos un proveedor de servicios es que no guarde logs, es lo básico, que no guarde un registro de qué estamos haciendo en la VPN para que no pueda dárselo a otro. Raro será el servicio de VPN que dice públicamente que guarda registros, pero se han dado casos en los que se ha demostrado, que ha encontrado servicios de VPN que de pronto la policía viene y les dan los datos. Ahí volvemos un poco al encontrar servicios de confianza que cuando nos dicen que no guardan logs es de verdad.

Lo importante entonces para escoger un proveedor de VPN es la confianza. Existen muchos proveedores que son fiables y prometen cuidar la privacidad y la información de sus clientes, pero algunos otros servicios son verdaderamente desastrosos (Mozilla). Una investigación reciente la cuenta de que el 40 por ciento de 300 aplicaciones gratuitas de VPN para android que fueron analizadas, instalaban malware o publicidad maliciosa en los dispositivos (VPN Permission-enabled Apps).

Escoger un servicio de VPN es todo un desafío y por ello dedicaremos el resto del programa a compartirles información sobre cómo hacerlo y qué más aspectos se podrían tomar en cuenta.

. . .

Decíamos que la confianza es el factor más importante para escoger una VPN. Algunos proveedores claramente se posicionan en defensa de la seguridad y privacidad, y puede que estos colectivos sean más accesibles a la hora de entablar comunicación con ellos, o con un poco de suerte formen parte de los círculos de confianza a los que pertenecemos. Pero además de la confianza o la cercanía con las personas detrás de los servicios de VPN ¿qué cosas más podemos considerar?.

Meskio: Es bastante complicado el elegir un proveedor de VPN porque estás poniendo toda tu confianza ahí, igual que tu proveedor de internet puede observar todo lo que haces en internet, con una VPN te proteges de eso a cambio de poner en esa posición al proveedor de VPN. La ventaja con utilizar una VPN es que tu proveedor de internet igual no lo puedes elegir casi, igual puedes elegir entre cuatro y acabamos en las mismas porque son cuatro corporaciones muy grandes en las cuales no puedes tener confianza. Pero proveedores de VPN sí que hay una diversidad bastante grande e igual puedes encontrar un colectivo o una empresa en la que confíes. Hay muchos proveedores de VPN que provienen del activismo, de movimientos más de calle y hay una conexión más directa con ellos; hay proveedores de VPN que provienen más de peer to peer, de protegerse por la persecución que ha habido online, y demás. Creo que el principal objetivo cuando buscas un proveedor de VPN es el buscar un ente que te de confianza, un ente con el cual puedas tener una relación más directa, creo que es el mismo problema que cuando hablamos de buscar un proveedor de correo, un proveedor de otros servicios. Hay toda una paranoia de si un proveedor de VPN gratuito puede significar que es más peligroso porque pueda tener otros intereses que protegerte a tí mientras que uno de pago pueda tener interés en que le pagues, no siempre es verdad. Hay proveedores de pago en los que yo confiaría, hay proveedores gratuitos en los que confiaría, y al revés, hay muchos proveedores en los que no confiaría aunque sean de pago o de no. No creo tampoco que el hecho de que yo confíe haga que otras personas deban de confiar a través de mí, creo que tienen que construir una confianza alrededor del historial y lo que conocen de ese colectivo que mantiene el servicio.

Como dice Meskio, algunos proveedores de VPN cobran por sus servicios. A primera vista puede parecer que tuvieran una concepción más comercial y empresarial de la seguridad en línea. Pero no siempre es el caso. Nos hemos mal acostumbrado a no pagar de forma monetaria por servicios en línea, cuando lo que hacemos es pagar con nuestra información y nuestros datos. La gestión y el mantenimiento de servicios como el correo electrónico y la VPN tienen costos reales que se deben cubrir mes a mes: la electricidad, el mantenimiento del hardware de los servidores, y las horas de trabajo humano para que todo siga funcionando. No hay ninguna magia detrás de los servicios que usamos en internet, todos son sostenidos por personas que bien lo hacen de forma voluntaria, o bien lo hacen para recibir un cheque a fin de mes.

Como dice la gente de (Mozilla) en su blog, "algunos proveedores gratuitos de VPN venden datos anonimizados a los anunciantes para poder sobrevivir. Otros servicios de VPN te meten anuncios. Algunos pueden ser gratuitos y seguros, pero llegan a ser dolorosamente lentos. También puede ser complicado elegir un buen servicio VPN de pago. Por ejemplo, un proveedor puede ofrecer conexiones seguras y máxima privacidad, pero un número limitado de ubicaciones de servidores. y es posible que sus datos de navegación no sean tan anónimos como dicen serlo".

Si optas por una VPN pagada, la forma de pago del servicio es importante porque la transacción bancaria es una forma en que tu proveedor podría conocer tu identidad verdadera. En todo caso, no porque una VPN sea pagada es mejor o peor que una gratuita. Desde nuestra perspectiva, la economía solidaria es la mejor opción porque contribuye a la autonomía y sostenibilidad de los servicios en los que confiamos.

Otro aspecto a considerar es la ubicación geográfica de los proveedores de VPN, ya que ello determina cuales son las leyes que rigen para el manejo o la entrega de los datos informáticos. En algunos casos las leyes permitirán solicitudes sin previo aviso, o la oportunidad de impugnar esas solicitudes. También es conveniente que los servidores del proveedor de VPN no estén muy lejos de tu ubicación geográfica, para que la navegación no sea muy lenta, aunque como dice Meskio, existen VPNs que suelen funcionar bastante bien incluso en lugares con conexiones precarias.

Meskio: Yo suelo tener siempre encendida la VPN, utilizo Tor para algunas cosas y el resto de cosas las hago todas en una VPN. Si medimos, se nota un pelín de retraso, pero no suele ser algo muy notable, hasta en conexiones precarias en lugares como ambientes rurales y demás que a veces la conexión es más lenta suele funcionar bastante bien.

Existen muchos proveedores de VPN y entendemos que puede ser complicado escoger uno, en especial porque mucha de la información disponible en internet tiene fines comerciales. Pero, a modo de recopilación y para alivianar la investigación, aquí dejamos algunas preguntas que pueden ayudarnos a elegir un servicio acorde a nuestras necesidades (Mozilla):

  • ¿Qué tipo de datos recopila el proveedor de VPN sobre nuestra navegación?
  • ¿Cuánto tiempo mantiene esta información?
  • ¿Hay alguna restricción en el uso?
  • ¿Dónde están los servidores VPN?
  • ¿Cómo se paga el servicio VPN?

Nosotras no podemos recomendar el uso de un servicio de VPN sobre otro, esa es una decisión personal que cada una tendrá que tomar. Sin embargo, algunos proveedores que sugerimos investigar son Ipredator, Mullvad, TunnelBear y Bitmask.

Para ir cerrando, le preguntamos a Meskio sobre Bitmask, el proyecto del que forma parte:

Meskio: Bitmask proviene de la experiencia de Riseup, un proveedor de servicios estadounidense que lleva ya casi veinte años proveyendo servicios seguros, que vienen de movimientos más anarquistas, más de calle, y tras muchos años proveyendo servicios se encuentran un poco en la necesidad por un lado de ver como mejorar más la seguridad de sus usuarias, y por otro lado de ver como hacer que más colectivos provean servicios como ellas, que Riseup va creciendo mucho y necesitan ver cómo. Entonces surge este proyecto con la intención de producir un cliente de VPN fácil de usar y seguro, cosa que hasta ahora no había nada realmente fácil, las VPNs básicamente solo las utilizábamos la gente más técnica que teníamos los conocimientos para configurarla. Todo el desarrollo de Bitmask se hace alrededor de como hacer que sea fácil de usar, y ya no solo fácil de usar para las usuarias, sino fácil de usar para los proveedores de servicios para que puedan proveer servicios seguros.

En la actualidad Bitmask funciona en Linux y en Android, hay un cliente para Mac que está más o menos beta que tiene algunos fallos y se están desarrollando otras plataformas. Ya hace unos años que hay bastantes usuarias que lo están utilizando y con bastante confianza. Bitmask no te ata a una plataforma concreta, sino que hay múltiples proveedores de servicios, uno de los más famosos es Riseup que lo he mencionado antes, pero hay otros muchos que también están proveyendo servicios con esta plataforma, Calyx por ejemplo, Código Sur, y Colnodo.

. . .

Ya nos vamos despidiendo. Hoy hemos desarmado las VPNs, que son unas de las herramientas más importantes para proteger nuestra privacidad online. Hemos visto qué hacen, por qué necesitaríamos usar una, por qué es importante elegir un proveedor confiable, y que factores necesitaríamos considerar para hacerlo.

Esperamos que haya sido clarificador y que haya servido para retomar el hilo de discusión sobre lo importante que es el resguardo de nuestra información en los tiempos que corren y en los que se avecinan, pues como dicen por ahí: "una vez que te agarran, no sabes que pasado te espera".

Besos y nos vemos el año que viene con mucho más para desarmar.

NUESTRAS FUENTES

EN TEXTO

EN AUDIO

ALGUNOS ENLACES DE INTERÉS