Logo Cabecera

Bit Picante

Cuidado con las VPN, hay muchas cosas que no te cuentan

No hay, ni habrá, un servicio VPN 100% transparente con sus usuarios. Tienes que conocer los detalles ocultos y evaluar los riesgos.

Icono Calendario

15/03/2024

Agradecimiento y créditos

Quiero empezar este artículo agradeciendo a "That One Privacy Guy" el enorme trabajo que ha hecho para comparar cerca de 200 VPN. No os podéis imaginar el tiempo, esfuerzo y dedicación que requiere comparar los servicios a ese nivel de detalle. No solamente investiga el servicio o producto sino también la empresa que hay detrás. Si no hubiese conocido su investigación, seguramente este artículo no existiría, pues me ha motivado a indagar en muchísimos detalles.

Aviso a navegantes

No todo es blanco o negro, también hay matices grisáceos. Te quiero decir algo muy importante que debes tener en cuenta. Cuando acabes de leer el artículo no te quedes o formes un punto de vista absoluto: blanco o negro. Lo que quiero que entiendas es que a pesar de las partes negativas, son servicios que tienen un uso específico. Deberás evaluar los riesgos y decidir el servicio VPN adecuado para tus necesidades.

¿Para qué quieres una VPN?

Necesidades para usar VPN

  • Seguridad y protección: proporcionan túneles cifrados para la transferencia de datos, lo que incrementa la privacidad y la protección contra el espionaje y las amenazas cibernéticas. Indispensable si usas Wi-Fi's públicas.
  • Anonimato: permite explorar Internet de forma anónima enmascarando tu ubicación y/o identidad.
  • Romper restricciones geográficas: puedes acceder al contenido desde cualquier parte del mundo.
  • Ofertas y descuentos: hay beneficios que están restringidos a una determinada zona geográfica.
  • ... y muchas otras, pero de todos modos entrarían en alguna de estas categorías.
  • Si por algún casual se te ocurre usar una VPN para actividades ilegales, olvídalo. Hay ciertos límites que ni siquiera las VPN toleran, por muy privadas y seguras que sean.

Ten en cuenta que cualquiera que sea tu necesidad no vas a tener nunca 100% garantías de nada: ni privacidad, ni anonimato, ni seguridad. Lo que sí puedes, es encontrar algunos factores clave que pueden favorecer o ayudar a que consigas tu objetivo, pero no hay nada absoluto.

Vamos al grano

Me voy a apoyar en algunos de los campos de la tabla de "That One Privacy Guy" para entrar un poco más en detalle sobre algunas características. NUNCA olvides que el proveedor de una VPN es una empresa que ofrece un servicio y que a través de ese servicio obtiene un rendimiento económico. No lo hacen por amor al arte. Detrás de una empresa hay personas que tienen sus necesidades.

El amor al arte

Ya que lo he mencionado, no deberías usar una VPN gratuita jamás. Hay una frase que dice: "Si algo es gratis, el producto eres tú". La elección es tuya, pero te dejo algunos detalles a continuación.

Jurisdicción

El país en el cual se encuentra la empresa que ofrece el servicio de VPN tiene su importancia. Si el país pertenece a los catorce ojos, es un indicio de que puede haber leyes que fuercen a la empresa a entregar cierta información sobre sus servicios y/o clientes. Ahora bien, si la empresa no pertenece a los 14 ojos, es un buen punto a favor. Desafortunadamente, hay empresas que dicen no guardar registros de uso de sus servicios cuando sí están obligados por la jurisdicción, esto entra en conflicto directo con la ética de la empresa, vamos, mintiendo a sus usuarios, ya que la gran mayoría no se fija en este detalle.

Registros de datos

Dependiendo de la jurisdicción, las empresas están obligadas a registrar algunos o todos los datos de sus servicios: es decir: tu IP, páginas visitadas, claves de encriptado del tráfico, datos bancarios, etc. Una vez más, pese a una empresa decir que no guarda ningún tipo de dato relacionado con sus clientes, esto es muy difícil de demostrar, casi imposible. Entonces aquí entramos en el terreno de la confianza porque necesitas creer que la empresa no guarda registros. Esta es la trampa, te hacen creer, no te ponen las pruebas delante, más adelante veremos por qué.

También se debe de tener en cuenta la jurisdicción del país donde se aloja el servidor al cual te conectas. Puede ser que la empresa se rija por una jurisdicción, pero los servidores salientes por otra. Por ejemplo: si una empresa pertenece a una jurisdicción que no obliga a guardar datos, pero el servidor al cual nos conectamos sí pertenece a una jurisdicción que obliga a guardar datos, la empresa que gestiona los servidores deberá guardar los datos.

ISP (Internet Service Provider - Proveedor de servicios de Internet)

Si hablamos de la estructura de los paquetes de datos, OpenVPN tiene un tamaño de paquete mayor a WireGuard. Según con que compañía tengas tu internet, se puede ver alterado el tráfico a través del propio ISP. Hay ISP's que no toleran muy bien el tamaño de los paquetes de OpenVPN, entonces intentarán segmentarlos, pudiendo resultar esto en una pérdida de velocidad de hasta un 90%.

Métodos de pago

Alguien que busca el anonimato va a intentar pagar antes con criptomonedas que dando sus datos bancarios. Ten en cuenta que la mayoría de criptomonedas son rastreables y si pagas con una criptomoneda que es rastreable y estás haciendo algo que no debes, te pueden rastrear a través de la cadena de bloques también. Este melón ya lo abriremos en otro artículo. Aún así, esta forma de pago, añade una capa más al ya complejo sistema.

Por añadir una capa más de seguridad, si puedes pagar un servicio de VPN con criptomonedas, hazlo siempre usando un navegador privado como Tor, ya que de esta manera escondes tu IP. Si usas tu navegador normal sin protección... aunque pagues con criptomonedas, tu IP real se puede vincular el método de pago.

Encriptado

En la mayoría de casos, esto se utiliza más para marketing. Se menciona mucho que una VPN es más segura por estar el tráfico encriptado, y estoy de acuerdo, pero la pregunta es: ¿Quién tiene la llave?

Si tú tienes la llave tienes más posibilidades de tener el control sobre la información, pero casi siempre la llave la tiene la empresa que ofrece el servicio. Vale, el tráfico estará encriptado pero si otro es dueño de TU llave puede ver todo tu tráfico. Por lo general, siendo sinceros, esto no suele ser lo común salvo que tengas una diana en la espalda y alguien te quiera rastrear. Este proceso no es ni sencillo ni cómodo, tampoco es efectivo en cuanto al coste para la empresa, pero si es necesario, lo investigarán.

Aun así, insisto, y te recuerdo que la mayoría de empresas que ofrecen esta clase de servicios existen por un fin económico, no tanto para el beneficio de sus usuarios.

La leyenda dice

Que todas las VPN que se publicitan por grandes medios como Youtube son VPN de baja calidad. Desde mi punto de vista es cierto, tras haber probado un par entiendo por qué. Piénsalo por un momento, ¿qué prefieres: usar una VPN con muchos usuarios o usar una VPN con pocos usuarios? Al usar una VPN con muchos usuarios la velocidad se vuelve más lenta para todos. Las VPN que se publicitan están buscando la mayor rentabilidad económica posible, es decir, sacar el mayor rendimiento a la infraestructura.

Esto no es algo ni bueno ni malo, pero es lo que es y tienes que saberlo. Ponte, por un momento, en la piel del empresario que quiere que su producto tenga éxito, y quizá, lo puedas entender mejor.

Por otro lado, en el extremo opuesto, hay otras VPN que no se publicitan y tienen muy pocos usuarios. Son unos servicios a los cuales únicamente puedes acceder por una invitación de alguien y además la persona que te invita es responsable del uso que le des a la VPN. Estas VPN, por lo general, tienen una interfaz más rústica y anticuada debido a que no tienen suficiente dinero para poder invertir en un diseño bonito. Lo que obtienen va destinado a desarrollar las funciones principales de la VPN: infraestructura, seguridad y protección, siendo la usabilidad un factor secundario.

Hay otro factor importante a tener en cuenta y es que en una VPN con muchos usuarios, al final, los grandes proveedores de servicios (Google, Amazon, Microsoft) acaban bloqueando la IP del servidor saliente porque lo considera actividad sospechosa. Imagínate miles de usuarios con la misma IP intentando iniciar sesión en Gmail. En este caso, entiendo que Google bloquee la IP, es razonable ya que lo puede considerar un ataque. En una VPN con pocos usuarios, la probabilidad de que pase esto es menor.

Aislamiento dentro de una VPN

Te podrás fiar de la empresa, pero nunca te fíes de usuarios desconocidos. Si el aislamiento entre los usuarios no es el correcto, otros usuarios del servicio pueden vulnerar tu seguridad. No suele ser el caso ya que esto incurre una violación directa de los términos de uso del servicio y puede incluso conllevar consecuencias penales.

El aislamiento es más importante de lo que crees, s4vitar lo demuestra aquíIcono Youtube. En este caso demuestra que la VPN usada para una plataforma donde practicar ciberseguridad no es del todo segura por no contar con un aislamiento adecuado. Aprovecho para agradecer también a "s4vitar" la gran labor que está haciendo en su campo.

Lo que no proporcionan claramente

En la mayoría de casos, no te van a dar:

  • El código fuente: es raro encontrar un servicio que exponga su código. Aun exponiéndolo, esto tampoco es garantía de nada, porque pueden mostrar un código y ejecutar otro en el momento del despliegue.
  • Información sobre el proveedor de la infraestructura: es difícil encontrar la empresa detrás de la infraestructura donde estarán alojados los servidores. En algunos casos es importante saber esto para conocer la ideología de la empresa, si está a favor o en contra de la privacidad. Si está en contra, probablemente tenga puertas traseras. Sí, sé que se puede rastrear la IP del servidor para averiguar la entidad responsable, pero en algunos casos se subcontrata una empresa para dar el servicio en nombre de otra empresa que ya tiene el nombre manchado.
  • Área de jurisdicción: es un terreno pantanoso, los grandes proveedores de VPN pueden mover, abrir o cerrar sedes en país que más les convenga según el momento. Si por ejemplo estás usando una VPN con jurisdicción en Estados Unidos y eres un usuario de España, el día que abran una sede en España y eres un usuario español, el servicio comenzará a estar sujeto también a la jurisdicción española. Te preavisan de estos cambios por adelantado, en los términos de licencia, esos que se aceptan sin leer, pues ahí. Es muy difícil saber cuando un servicio cambia de jurisdicción y no les interesa decirlo porque pueden perder usuarios.

Volviendo al inicio

Tienes que evaluar también la criticidad de tus necesidades y objetivos. Se entiende mejor con unos ejemplos: si estás usando la Wi-Fi del aeropuerto, la gran mayoría de VPN de pago te servirá. Ahora bien, en el supuesto caso que quieras usar una VPN para acceder al contenido bloqueado por tu proveedor de internet, tendrías que utilizar un servicio que no guarde registros y preferiblemente que no pertenezca a la jurisdicción del país en el cual te encuentras. Obviamente, también debes ser consciente de las cargas legales que esto implica.

¿Puedo tener mi propia VPN?

Por supuesto, aunque para ello son necesarios unos ciertos conocimientos técnicos y hay unos límites. Tienes que encontrar un proveedor de alojamiento que ofrezca VPS (servidor privado virtual). Además, necesitarás que ofrezca un VPS en el país de destino bajo cuya IP quieras estar. En otro momento hablaremos de WireGuard, porque una VPN no siempre se usa de cara al exterior, hay algunos casos muy particulares en los cuales puedes querer tener tu propia red privada.

Gracias por leer

Sinceramente, lo siento, pero, no puedo recomendarte un servicio en concreto porque me he dado cuenta que... cuanto más investigo, más desconozco. Aun así, espero haberte ayudado o aclarado algunos aspectos que a mí me hubiesen gustado saber hace mucho tiempo. Es difícil dar con la VPN adecuada, lo sé, pero ahora tienes más herramientas para poder dar en el clavo.