¿VPN realmente puede proteger la privacidad? El director de seguridad de IBM analiza los riesgos de confianza detrás

A medida que la red privada virtual (VPN) se convierte en una “herramienta de privacidad” ampliamente promocionada en el mundo digital, la publicidad relacionada se puede ver en sitios web, aplicaciones y anuncios de YouTube, destacando el anonimato en línea y la protección de datos personales. Al respecto, Jeff Crume, director de tecnología de seguridad de IBM, en su análisis en video, parte de escenarios reales de transmisión en línea para desglosar gradualmente el funcionamiento técnico del VPN, el modelo de confianza y las limitaciones de privacidad, explicando que el VPN no es una panacea, sino una herramienta de “redistribución de confianza”.

Datos sensibles en redes públicas, Wi-Fi maliciosos como método de ataque frecuente

Crume señala que cuando los usuarios transmiten números de tarjeta de crédito, información de identidad o datos de valor comercial a través de internet, estos contenidos se transmiten en realidad a través de una “red pública”, como si hablaran en voz alta en un lugar público, lo que puede ser interceptado por terceros no específicos.

Destaca especialmente una de las técnicas de ataque más comunes, como en cafeterías o hoteles, donde los atacantes pueden configurar puntos de acceso con nombres casi iguales a los de Wi-Fi legítimos, para inducir a los usuarios a conectarse por error. Una vez conectados, los datos incluso antes de ingresar a la verdadera internet, pueden ser completamente interceptados y revisados por los atacantes.

Principio básico del VPN: crear un canal cifrado

Para mitigar estos riesgos, Crume explica que la función principal del VPN es establecer un canal de transmisión cifrado entre el dispositivo del usuario y el proveedor del servicio VPN.

En esta estructura, toda la información enviada al exterior se cifra primero, se envía al proveedor de VPN, quien la descifra, determina el destino, vuelve a cifrarla y la reenvía al sitio web real. El proceso en el camino de regreso es igual.

Por lo tanto, los espías externos, atacantes en Wi-Fi público e incluso el proveedor de servicios de internet (ISP) solo pueden ver que hay una conexión entre el usuario y el proveedor de VPN, sin poder conocer el contenido real o el destino final.

Esencia del VPN: no eliminar la confianza, sino transferirla

Crume enfatiza que, independientemente de si se usa VPN o no, la “confianza” no puede ser eliminada, solo transferida. Él distingue a los diferentes objetos de confianza en distintos escenarios:

Sin VPN: el usuario debe confiar en el ISP y en todos los posibles objetos desconocidos que puedan acceder a los paquetes durante la transmisión.

VPN corporativo: los empleados que se conectan remotamente a la red interna de la empresa, en realidad están confiando en su empleador, con énfasis en la seguridad empresarial, no en la privacidad personal.

VPN de terceros: el usuario transfiere toda la confianza que antes tenía dispersa en internet y en el ISP, al proveedor del servicio VPN.

Él afirma claramente que la verdadera función del VPN es convertir “la confianza en muchas personas” en “una confianza total en una sola persona u organización”.

Riesgos reales de los VPN de terceros

Jeff Crume señala que, dado que los proveedores de VPN deben descifrar el tráfico en medio del camino, pueden ver a dónde se conecta el usuario, la dirección IP, la frecuencia de uso e incluso el contenido real de los datos. Esto genera varios riesgos que no se deben ignorar:

Modelo de monetización de datos en VPN gratuitas: si el usuario no paga, el proveedor puede obtener beneficios mediante la recopilación y venta de datos.

Riesgos de incidentes de seguridad: incluso si el proveedor no tiene malas intenciones, en caso de hackeo, los datos del usuario pueden filtrarse.

Requisitos judiciales y legales: en algunos países, los proveedores de VPN pueden estar legalmente obligados a entregar registros de los usuarios.

Recuerda que la clave al usar VPN de terceros no está en “si funciona” sino en “si realmente sabes en quién confías”.

Autogestión de VPN y los problemas de confianza

Para usuarios que valoran mucho la privacidad, Crume también menciona la opción de “configurar su propio VPN”, lo que permite tener el control total de la infraestructura. Pero también señala que, incluso así, el usuario debe confiar en el software del VPN, ya sea de código abierto o comercial, ya que implica confiar en el código y en los mecanismos de actualización, por lo que no está exento de riesgos.

(Curiosidades tecnológicas: El embajador de paz entre ambos lados dice que China en realidad no bloquea la VPN, solo necesita usarla y puede ver todo)

¿Realmente el VPN puede proteger la privacidad? La explicación del director de seguridad de IBM sobre los riesgos de confianza detrás del uso de VPN fue publicada originalmente en Chain News ABMedia.