OJO, las VPN populares pueden ser pirateadas

Pensamos que las VPN populares eran seguras, pero con un número cada vez mayor de servicios seguros que informan de infracciones del servidor, ese no parece ser el caso. Pero, ¿cómo se piratean estos servicios seguros en primer lugar, y cómo los piratas informáticos lo aprovechan?

Así es como se piratean las VPN y qué significa para tu privacidad.

La seguridad irrompible de la VPN (aparentemente)

Si observamos brevemente cómo funciona una VPN, parece inquebrantable. Este es el principal atractivo de una VPN, ya que las personas sienten que pueden confiar en el servicio para mantener su privacidad.

Por un lado, tu ordenador encripta la conexión antes de que salga a Internet. Este cifrado convierte a una VPN en una capa sólida de defensa contra el espionaje, ya que cualquiera que esté espiando la conexión no puede leer lo que está enviando. Los piratas informáticos pueden usar conexiones Wi-Fi públicas para robar tu identidad, pero una VPN puede protegerte de todos los ataques, salvo que alguien mire por encima de su hombro.

Incluso tu ISP no puede ver los paquetes que envías, lo que hace que las VPN populares sean útiles para ocultar tu tráfico a un gobierno estricto.

Si un hacker logra entrar en la base de datos de una VPN, puede irse con las manos vacías. Muchas de las principales VPN tienen una «política de no registro», que establece que no guardarán registros de cómo usas su servicio. Estos registros son una mina de oro potencial para los piratas informáticos, y negarse a mantenerlos significa que se mantiene tu privacidad incluso después de una fuga en la base de datos.

A partir de estos puntos, es fácil suponer que una VPN es «inquebrantable». Sin embargo, hay formas en que los piratas informáticos pueden violar una VPN.

Cómo las VPN populares son susceptibles de piratería

OJO, las VPN populares pueden ser pirateadas

El mejor punto de entrada de un pirata informático está cerca de los confines de la red VPN. Las empresas de VPN a veces optan por no configurar servidores en todos los países que desean admitir. En cambio, contratarán centros de datos establecidos dentro del país de destino.

Este plan a menudo no presenta complicaciones y el servicio VPN adopta los servidores sin ningún problema. Sin embargo, existe la rara posibilidad de que haya una supervisión oculta en el centro de datos que la compañía VPN no conoce. En un caso reportado, un servidor que NordVPN alquiló tenía instalada una herramienta de conexión remota olvidada.

Esta herramienta era insegura y los hackers la usaron para entrar.

A partir de ahí, el hacker encontró algunos archivos adicionales. El Registro informa que esto incluye una clave de cifrado caducada y un certificado DNS. La clave no permitía al pirata informático espiar el tráfico, y si lo hicieran, NordVPN dice que solo verían los mismos datos que vería un ISP.

Los 10 VPN populares con vulnerabilidades críticas, según una investigación de VPNpro:

  • SuperVPN Free: 100 millones de instalaciones
  • TapVPN Free: 10 millones de instalaciones
  • Best Ultimate VPN: 5 millones de instalaciones
  • Korea VPN: 1 millón de instalaciones
  • Puma VPN-Pro: recientemente eliminada de la Play Store
  • VPN Unblocker Free: 1 millón de instalaciones
  • VPN Download: recientemente eliminada de la Play Store
  • Super VPN 2019 USA: 50.000 instalaciones
  • Secure VPN-Fast VPN Free & Unlimited VPN: recientemente eliminada de la Play Store
  • Power VPN Free VPN: recientemente eliminada de la Play Store

Cómo los hackers pueden capitalizar un ataque VPN

Esta falla es la principal debilidad que un hacker intentará explotar. Debido a que la VPN no almacena registros de conexiones, la mejor opción para un hacker es observar el flujo de datos en tiempo real y analizar los paquetes.

Esta táctica se llama el ataque «hombre en el medio» (MITM). Es cuando un hacker obtiene su información de los datos de monitoreo a medida que pasan. No es fácil de lograr, pero no es imposible de lograr. Si un pirata informático consigue una clave de cifrado, puede revertir la protección de la VPN y echar un vistazo a los paquetes a medida que pasan.

Por supuesto, esto no da rienda suelta a los piratas informáticos sobre el tráfico. Los datos cifrados con HTTPS no serán legibles, ya que el hacker no tendrá la clave para ello. Sin embargo, todo lo que sea texto sin formato será legible y potencialmente editable, lo que sería una grave violación de la privacidad.

¿Deberías preocuparte por la privacidad de tu VPN?

Si bien esto suena aterrador, no os preocupéis todavía. Antes de entrar en pánico, considera por qué usas o usarías un servicio VPN. En el nivel base, un hacker que monitorea una conexión VPN solo vería lo que vería un ISP. Para algunos, este tipo de incumplimiento no los afecta en absoluto; para otros, es una grave violación de la confianza.

En un extremo del espectro, supongamos que usas una VPN para poder moverse por los geobloques. No arranca la VPN a menudo, y cuando lo hace, es para ver programas en Netflix que no están disponibles en tu país de origen. En este caso, ¿te importa que un hacker sepa que estáis viendo la nueva serie Labyrinth?

De lo contrario, es posible que no desees protegerte aún más, ¡aunque algunos argumentarán que renunciar a cualquier parte de su privacidad nunca es correcto!

Por otro lado, las VPN populares son más que una forma de ver programas de televisión en el extranjero. Son una forma de navegar por Internet y hablar libremente sin intervención del gobierno. Para estas personas, una violación de su privacidad podría tener graves consecuencias.

Si la idea de que tu privacidad se filtre en un ataque es demasiado para soportar, vale la pena tomar medidas adicionales para protegerte.

Cómo proteger tu privacidad con seguridad adicional

Para comenzar, es esencial darte cuenta de que estas infracciones no son comunes. Además, el hacker en el caso de NordVPN solo obtuvo acceso a uno de los más de 5000 servidores. Esto significa que la mayoría del servicio era seguro y que solo una pequeña sección de usuarios estaba amenazada. Como tal, una VPN sigue siendo una forma útil de proteger tu privacidad.

Sin embargo, si tú eres muy serio acerca de permanecer en el anonimato, una VPN no debería ser tu única línea de defensa. Los ataques a las VPN han demostrado que tienen fallas, pero eso no significa que sean completamente inútiles. La mejor manera de mantener tu privacidad es agregar otra capa de privacidad a lo que proporciona la VPN. De esa manera, no dependes totalmente de tu servicio VPN para protegerte.

Por ejemplo, podéis iniciar tu VPN, luego usar el navegador Tor para navegar por la web. El navegador Tor se conecta a la red Tor, que utiliza encriptación triple para su tráfico. Este cifrado se aplica antes de que tu ordenador lo envíe, como una VPN.

Si un hacker realiza un ataque MITM en tu conexión VPN, el cifrado de la red Tor mantiene tus datos seguros. Por otro lado, si tu conexión se ve comprometida en la red Tor, el camino lleva de regreso a la VPN. Si la VPN no almacena registros, el camino de regreso a ti se desactiva.

Como tal, usar dos capas de seguridad es una forma efectiva de proteger tu privacidad. Independientemente de qué lado sufra una violación, el otro tomará la holgura.

:)