Desde hace tiempo le doy vueltas al tema de las Redes Privadas Virtuales (VPNs) para aumentar la seguridad de las comunicaciones. Pero hay cosas que por falta de conocimientos no acabo de entender. Digamos que hay cosas que no me encajan de lo que algunas personas publican en sus redes sociales. A estas alturas de la película no hace falta repetir aquello de que tonto no es el que pregunta porque no sabe si no el que se queda sin saberlo por no preguntar 😉
Así que he decidido tener una charla con una IA para ver si consigo aclarar algunas cuestiones. Vaya por delante que esto es algo así como una prueba experimental, si queréis información de calidad acudid a un profesional del sector de la ciberseguridad.
 |
| Imagen creada con IA |
Lo que voy a incluir aquí es sólo un resumen de las respuestas de la IA. No me hago responsable del contenido que he copiado de las respuestas dadas por la IA. Además he quitado las referencias a empresas concretas. No pongo que IA he utilizado porque me servía cualquiera, no quiero hacer publicidad de ninguna y a mi me da igual si es china o no, jejeje.
Prompt: Me gustaría que me ayudaras a entender lo siguiente. Si una web tiene certificado SSL entiendo que el tráfico de entrada y salida que tenga mi ordenador con esa web está cifrado y que alguien que intercepte dicha comunicación no podría descifrar su contenido. ¿Es correcto?
Resumen de la respuesta:
Sí, SSL cifra el tráfico entre tu ordenador y la web, haciendo que los datos sean inútiles para un atacante que los intercepte. Siempre verifica que la URL tenga HTTPS y el candado 🔒.
Prompt: Entendido. ¿Por qué entonces hay mucha gente diciendo que hay que tener un VPN para conectarse en redes públicas si el tráfico ya está cifrado con SSL?
Resumen de la respuesta:
Aunque el SSL/TLS (HTTPS) cifra el tráfico entre tu dispositivo y el sitio web, usar un VPN en redes públicas (WiFi de cafeterías, aeropuertos, etc.) sigue siendo recomendable por varias razones complementarias. Aquí te explico las diferencias clave y por qué mucha gente insiste en usar VPN incluso con HTTPS:
1. SSL/TLS solo protege el contenido, no todo el tráfico.2. Protección contra ataques "Man-in-the-Middle" (MITM).3. Evita el espionaje del administrador de la red.4. Acceso a contenido georestingido.
ConclusiónPara privacidad básica (evitar robos de datos), HTTPS es suficiente.Para anonimato y evitar vigilancia en redes públicas, la VPN añade una capa extra de protección.
Prompt: Vale, entiendo. Ahora el siguiente paso es entender bien la VPN. Si configuro VPN con un tercero, ¿no habría riesgos de seguridad si dicho tercero quisiera hacer algo malicioso?
Resumen de la respuesta:
Efectivamente, usar una VPN de un tercero implica confiar en ese proveedor, ya que todo tu tráfico pasa por sus servidores. Si el proveedor de VPN es malicioso o negligente, podría haber riesgos importantes.¿Qué riesgos existen al usar una VPN de terceros?
1. Registro de tu actividad (Logging). Ejemplo: En 2020, una VPN gratuita expuso datos de 360 millones de usuarios.
2. Inyección de malware o anuncios. Ejemplo: Una VPN gratuita vendía el ancho de banda de sus usuarios para una red P2P.3. Fugas de DNS o IP (DNS/IP leaks)4. Servidores comprometidos. Ejemplo: En 2019, una VPN admitió un ataque a uno de sus servidores (aunque no se filtraron datos).5. Jurisdicción del proveedor.
Prompt: Si opto por montar una VPN propia y la alojo en el servidor de un tercero. ¿No puede haber riesgo de seguridad?
Resumen de la respuesta:
Efectivamente, montar tu propia VPN en un servidor de un tercero también tiene riesgos, aunque puede ser más seguro que confiar en un proveedor de VPN comercial en algunos aspectos.Riesgos de una VPN autoalojada en un VPS de terceros
1. El proveedor del VPS puede monitorizar o acceder a tu tráfico.2. Posibles fugas de logs o configuración insegura.3. Ataques al servidor VPN.4. Jurisdicción del VPS.
Prompt: Necesito que me confirmes si he entendido bien lo siguiente. Si utilizo una VPN se crea un túnel cifrado entre mi dispositivo y el servidor destino donde se aloja la VPN. Pero, ¿qué pasa con el tráfico desde el servidor VPN hasta la web destino?
Resumen de la respuesta:
¡Exacto! Has entendido correctamente la primera parte, y tu pregunta sobre el tráfico desde el servidor VPN hasta el destino final es clave.Cómo fluye el tráfico con una VPN: 2 tramos distintos
Tramo 1 (Tú → Servidor VPN):
Cifrado fuerte.Protege en redes públicas.
Tramo 2 (Servidor VPN → Web/app destino):
Depende del destino (si utilitza HTTPS o HTTP).
Conclusión: ¿Qué protege y qué no protege una VPN?
Protege:
Tu tráfico en redes públicas (tramo 1 cifrado).Oculta tu IP real frente a webs/apps.Evita que tu ISP sepa qué haces (solo ve que usas VPN).
No protege:
El tráfico HTTP después del servidor VPN (por eso HTTPS es vital).Que el proveedor de la VPN vea tu actividad (elige uno confiable).Metadatos si la VPN guarda logs (ej: horarios de conexión).
Y he seguido "charlando" un ratito más de algunas cuestiones sobre si el ISP del servidor donde se aloja la VPN puede saber qué estamos haciendo, los riesgos de montar la VPN en un servidor propio, etc.
¿Qué conclusiones sacáis de todo lo anterior? ¿Supone una capa adicional de seguridad o al final lo realmente importante es usar https? ¿Las VPN están más enfocadas a un tema de "privacidad" y accesos geo-restringidos que de "seguridad"?
Imaginad que monto en mi casa una VPN para conectarme siempre que estoy fuera de casa como si estuviera en mi red doméstica. Todo el tráfico que sale por ejemplo de mi portátil que lo he configurado correctamente puede ir por el túnel cifrado. Pero cuidado con creer que con eso ya puedo estar completamente tranquilo respecto a mi privacidad y seguridad. ¿Tengo una buena configuración de seguridad en la red de mi casa? ¿Qué pasa con el tráfico que sale de mi casa? Si me conecto a una web sin https, ¿somos conscientes de que de mi casa salen los datos en texto plano?
Y si el servidor no es mío sino que está alojado fuera de mi control, ¿no hay un ejercicio extra de confianza sobre mi privacidad y seguridad en lo que pueda hacer un tercero?
 |
| Imagen creada con IA |
A veces lo más peligroso puede ser la falsa sensación de seguridad, que ahí es cuando nos relajamos y vienen los malos y las malas a darnos sustos y disgustos.
No hay comentarios:
Publicar un comentario