Oct 18 2017

¿Son realmente anónimas las VPNs de pago?

Ya hemos hablado mucho de VPNs en NASeros y sabéis perfectamente que básicamente consisten en cifrar el tráfico entre dos puntos para hacerlo ilegible por un tercero que pudiera capturar el tráfico.

Las VPNs de pago dan anonimicidad y las privadas seguridad

Cuando montamos en un hardware propio un servidor VPN privado buscamos la privacidad y la seguridad que da el cifrado. La IP con la que navegamos es pública porque es la del equipo donde tengamos alojado el servidor VPN.

Gracias a este tipo de VPNs privadas podemos navegar con seguridad desde redes públicas sin miedo a ser “espiados”, pero si cometiéramos un acto ilícito nuestra identidad quedaría al descubierto.

Mientras que en una VPN privada navegamos con nuestra IP pública, en las VPNs de pago podemos elegir el nodo de salida del país que queramos. De esta manera nuestra IP de cara al exterior será la IP del nodo de salida. Sólo la empresa a la que le hemos contratado el servicio VPN sabe nuestra identidad porque conoce nuestra IP de conexión.

Muchas VPNs de pago publicitan en sus web que no guardan registros de conexión y por lo tanto que tu anonimato está totalmente garantizado. La gran mayoría de usuarios que contratan este tipo de servicios lo hace por garantizarse una mayor privacidad y en muy pocos casos buscan el anonimato para realizar actos ilícitos.

No vamos a engañarnos, sabemos que mucha de esta gente contrata VPNs de pago para descargar o visionar contenido protegido a través de torrents o a través de webs con enlaces de streaming de vídeo. Esto es ilegal. No voy a abrir un debate sobre la legalidad o ilegalidad de este tipo de actos, eso leo dejo para otro día.

Cuando me refiero a realizar actos ilegales a través de la red me refiero a cosas que en mi opinión son mucho más repudiables. Por ejemplo aquí entraría el ciberacoso, la comparitión de archivos pedófilos, el grooming, fraudes y estafas, robo y tráfico de identidades, etc,…

Los "logs" son necesarios en las VPNs de pago

Las empresas que venden servicios de VPNs de pago necesitan llevar cierto control de sus servidores. Para ello tienen que generar "logs" con la actividad de cada servidor.

Es lógico, necesitan saber cuántos usuarios hay conectados en cada momento, cual es el ancho de banda que están consumiendo, tiempo de actividad y conexiones realizadas por cada usuario, nodos de entrada y de salida, protocolos de conexión utilizados, posibles errores de conexión, fallos en el servicio, etc,…

Que estas empresas generan logs es indiscutible, si no lo hicieran estarían ciegos y no tendrían control sobre su infraestructura. La gran duda es ¿qué hacen luego con esos datos generados en los logs?. ¿Realmente destruyen esos logs y no guardan ningún tipo de registros?

Esta semana ha saltado un escándalo porque un hombre de Massachussets ha sido arrestado gracias a los datos proporcionados por una empresa de VPN. Utilizaba una VPN de pago para enmascarar su actividad en la red y acosar a una excompañera.

PureVPN es una conocidísima empresa de VPN que en su publicidad prometía no mantener ningún tipo de registro de sus usuarios.

El FBI solicitó la colaboración de esta empresa por este caso de acoso y gracias a los registros de conexión que fueron facilitados a las autoridades norteamericanas se pudo arrestar a este acosador.

Algo falla en esta historia

Este hecho ha pasado bastante desapercibido y la relevancia de este suceso es algo importantísimo porque pone en duda el anonimato de este tipo servicios de VPNs de pago.

A mi la noticia no me ha pillado de sorpresa. Lo que sí que me ha sorprendido es que haya ocurrido con caso de tan escasa importancia.

Aunque el acoso siempre es despreciable y merece toda mi repulsa no es comparable a un caso de terrorismo con múltiples víctimas o a un asesino en serie. Vería más lógico que esta noticia hubiera saltado porque el FBI hubiera pedido ayuda a una empresa de VPN para aclarar el caso por ejemplo del francotirador de Las Vegas que desde un hotel mató a 58 personas e hirió a más de 500. Por poner otro escenario distinto también podría haberse destapado por un caso de terrorismo o para esclarecer un asesinato.

Otra cosa que me ha resultado extraña es la poca resistencia ofrecida por PureVPN. Todos recordamos el escándalo con Apple y el famoso iPhone de San Bernardino que acabó en los tribunales tras una tensa disputa. Corrieron ríos de tinta, abrió telediarios a nivel mundial y hasta el presidente del gobierno de Estados Unidos tuvo que posicionarse sobre el tema.

En el caso que te estoy comentando no ha hecho falta ni un mandato judicial para por lo menos guardar las apariencias. Ni siquiera PureVPN se ha hecho de rogar un poquito a la hora de entregar los registros. Esto es un golpe muy duro para la imagen de PureVPN ya que la base de su negocio es la privacidad. Esa confianza se ha roto para siempre. La reacción de PureVPN es ilógica.

Ya partimos de la base que PureVPN, en contra de su teórica política de privacidad, guardaban los registros. Si los hubieran destruído, por más que hubieran querido colaborar no habrían podido, incluso aunque hubieran sido presionados.

Todos sabemos la presión que los gobiernos están ejerciendo sobre estas empresas facilitadoras de VPNs de pago. No es ningún secreto que les encantaría prohibirlas y cerrarlas. De hecho hay países como China, Iraq, Emiratos Árabes, Turquía o Corea del Norte en los que están prohibidas.

Mi opinión

A mi me suena a un aviso navegantes para meter miedo a los usuarios de estas VPNs de pago. Por supuesto que esto es una opinión que no está basada en ningún dato empírico.

Hace una semana también se ha estrechado el cerco sobre la red TOR porque varias de las principales tiendas que operaban en esta red están cerradas y no dan signos de vida.

Creo que avanzamos a un mundo con menos privacidad en internet. Cada vez va a ser más difícil pasar desapercibido. Encima es una batalla perdida porque ”los malos” siempre van a encontrar la manera de esquivar a la autoridad y de perpetrar sus fechorías.

La otra cara de la moneda vamos a ser aquellos que no hacemos nada malo ni ilegal pero que queremos mantener cierto grado de intimidad en el ciberespacio.

La democratización de internet se ha producido de una manera muy rápida en los últimos 15 años y eso ha dejado fuera de juego a muchos poderes que no quieren perder el control.

Entramos en la famosa disputa privacidad vs seguridad. Yo por desgracia tengo muy claro hacia dónde va a inclinarse la balanza.

Siempre me queda el consuelo de mis queridas VPNs en mis NAS y mis routers. Si quieres saber más sobre las diferencias entre las VPNs de pago y privadas puedes mirar este vídeo .

By Mac Josan • WEB •

One Comment

Alfonso C. Betancort
octubre 22, 2017 @ 10:37 pm
Si vas hacer algo malo de verdad… no seas tan torpe como para no hacerlo como un malo de verdad.
El americano/a, pesado/a, acosador/a, torpe, ese/a se lo merece por primero por acosador/a, por idiota pues seguro que la/el acosada/o sabía perfectamente quién era pues de cortos son que si no se la echan de listos delante de la víctima o de alguien vinculado a ella/el no les sabe igual, y que siendo americano haya sido tan simplón como para tragarse que por pagar $5 al mes a una empresa, que solo dios sabe quienes son su padre, madre y demás familia, iba a negarse a cumplir una orden judicial americana o del directa del FBI (con la certera posibilidad que le congelen los activos en USA de la compañía, consejeros, administradores, directivos extranjeros, no les dejen operar ni a ellos ni a la compañía directa o indirectamente con o en USA, ni pisar territorio Americano en los próximos veinte años a sus consejeros, administradores, directivos extranjeros y si fuesen americanos o residentes en USA, incluyéndo cualquier empleado de cualquier nivel sea directo o de una subcontrata que pudiera tener conocimiento o acceso a la información solicitada y se negase/n a contestar al Juez va uno detrás de otro directamente a la carcel federal – con o sin fianza – hasta se le refresque la memoria o se decida el fondo en asunto de en Juzgado Federal), no va la compañía y sus consejeros, directivos o empleados a recuperar de donde sea los datos que le pidan, sacarles el brillo que haga falta y entrégaselos al FBI o al Juez si hace falta en mano y en folios blancos escritos a mano alzada en Times New Roman cursiva a 12 picas con un espaciado 18 picas y justificado. Los jueces y la administración de justicia federal de Estados Unidos no se parece a la española donde un político entra por una puerta y sale por otra con el mismo cargo… lo habitual allí es que cuando a un cargo lo entran por la puerta es que lo saquen en un transporte de presos comunes en dirección a una carcel federal condenado a más de una quincena de años).
Apple de las compañías de mayor capitalización mundial y un VPN es un chiringuito donde malamente sobre-revenden ancho de banda sobre a gateways a Internet sobre conexiones en el mejor de los casos de segundo o tercer tier en varios países con VPS en los límites de rendimiento por los procesos de encriptación/desencriptación, con una asignación de ip que ya se las sabe medio mundo o más… Si esto te lo hiciera tu proveedor de servicio lo matarías…
Cuál santeros que desde tiempos inmemorables le han vendido a la gente humo como remedio a los pecados y la enfermedad, estos modernizados, más listos, le venden a los mismos ilusos el remedio preventivo a sus pecados, pero está vez en cantidades industriales y bajo el modelo de la suscripción como viejo sistema de las editoriales españolas de sacarles las perras a los ilusos con las publicaciones por fascículos que eran más malas y largas que una foto novela de bajo costo venezolana pero que al final le costaba al consumidor más que si se hubiera comprado la Enciclopedia Británica al completa, la Espasa-Calpe completa y la Larousse, todas ellas en encuadernación de lujo.
Al parece como si la gente buscase como fuese el que la engañen, roben y les cuenten que los burros vuelan y cuánto más alto le digan que vuelan pues más contentos se quedan. Porque no me creo que haya tanto tonto junto en el mundo.