Wednesday, 17 June 2015

Cuál es el gran problema de las VPN gratis y por qué deberías llevar cuidado

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/importantes/cual-es-el-gran-problema-de-las-vpn-gratis-y-por-que-deberias-llevar-cuidado/
TAGS: Hacking, Hola VPN, privacidad, seguridad, VPN

Hace tiempo que las VPN surgieron como un sistema muy eficaz para proteger la comunicación entre dos extremos y evitar que posibles "cotillas" pudieran tener acceso a esas transferencias de datos. La idea fue muy aprovechada en entornos empresariales y profesionales, pero sus prestaciones han pasado a ser de uso mucho más común tras la adaptación de las VPN para una tarea mucho más atrayente: poder disfrutar de Netflix, Hulu o Pandora en nuestro país, cuando teóricamente solo podríamos hacerlo desde Estados Unidos.


En ese caso el truco está en jugar con las IPs, las direcciones que sirven para tratar de demostrar que nuestro equipo está funcionando en Estados Unidos o en cualquier otro país. Normalmente esos servicios VPN tienen cierto coste, pero hay alternativas gratuitas -en Genbeta nos hablaban de siete de ellas recientemente- que atraen a muchos usuarios por esa circunstancia. El problema, claro, es que en realidad nada es gratis.



El caso de Hola


Hace unas semanas se hizo famoso el escándalo que surgió con Hola, un servicio VPN gratuito que como en otros casos hace que sea posible acceder a servicios de Internet restringidos geográficamente. La propuesta de Hola era muy atractiva y su funcionamiento era destacable, pero el problema estaba en que esa gratuidad venía con letra pequeña.




[caption id="attachment_4130" align="alignnone" width="650"]El caso de Hola El caso de Hola[/caption]

En este caso esa letra pequeña se traducía en el hecho de que al conectarnos a esa VPN cedíamos nuestro ancho de banda para que los usuarios de otro servicio asociado -Luminati, que sí es una VPN de pago- pudieran aprovecharlo para diversos escenarios. Que desde luego podrían ser benignos, pero que como se demostró también podían ser muy discutibles.


Ocurrió que uno de los usuarios (o grupos de usuarios) que usaban Luminati aprovecharon ese servicio para lanzar un ataque de denegación de servicio a la web 8chan. Así lo confirmabaFredrick Brennan, responsable de 8chan, que explicaba cómo se había producido esa caída.


Hola se ha vuelto codicioso. A finales de 2014 se dieron cuenta de que en su servicio tenían una botnet con más de 9 millones de IPs en sus manos, y comenzaron a vender acceso a esa botnet (por el momento, solo para peticiones HTTP) a través de http://illuminati.io.


Brennan calificaba a Hola del "servicio VPN menos ético que jamás he visto", y dejó claro que la gratuidad del servicio convertía a sus usuarios en posibles responsables indirectos de estos ataques a través de esa gigantesca botnet en la que uno entra sin saberlo. Aunque los responsables de ambas empresas ya han aclarado el asunto y parece que de momento "no va a haber más problemas" entre ambas partes, el daño está hecho, y esa es la demostración de que una VPN gratuita, como cualquier otra cosa gratuita, se suele cobrar ese coste de otra forma.



Nadie da duros a cuatro pesetas


Las VPN son una interesante alternativa de proteger nuestro uso de Internet. Mantener la privacidad es algo que cada vez preocupa más -sobre todo tras las filtraciones de Edward Snowden- y los servicios de este tipo prometen garantizar esa privacidad y a menudo presumen de ofrecer esa capacidad sin cobrarnos nada.




[caption id="attachment_4131" align="alignnone" width="650"]pesetas pesetas[/caption]

El problema es que para los servidores proxy que proporcionan este servicio funcionen es necesario que cuenten con una conexión especialmente capaz de lidiar con las ingentes cantidades de datos que generan estos servicios al ser usados por muchos usuarios. Y eso cuesta dinero. Mucho dinero. Si a ello le sumamos el coste del mantenimiento, de la operativa y de la seguridad, esos costes se incrementan. ¿Por qué alguien ofrecería esos servicios de forma gratuita? Fácil: porque en realidad no son gratuitos.


En algunos de estos servicios la gratuidad se compensa con la aparición de publicidad en nuestras sesiones de navegación, y esos proveedores de servicio esperan que hagamos clic en esos anuncios mientras esperamos a que las conexiones se completen o mientras están funcionando. El problema es que el canal a través del cual se gestiona la publicidad es siempre prioritario: nuestras conexiones a la información que queremos son más lentas que aquellas destinadas a presentarnos la publicidad en cuestión. Muchos servicios VPN gratuito ofrecen velocidades de conexióndesesperadamente lentas, y/o desesperadamente inestables. Si habéis aprovechado estos servicios para acceder a servicios de streaming en EE.UU. como Netflix, puede que hayáis sufrido esos cortes continuos en las emisiones con esas VPN de dudosa procedencia.


El otro problema, mucho más preocupante, es el hecho de que existen servicios de este tipo que no son más que un reclamo para que crackers y grupos de ciberdelicuentes puedan tener acceso a nuestros ordenadores. Los atacantes, con amplios conocimientos en este segmento, ponen en marcha un servicio VPN que publicitan como gratuito, comienzan a recibir las peticiones de servicio, y logran infiltrarse en los ordenadores de esos usuarios para obtener datos sensibles como por ejemplo información sobre tarjetas de crédito. Y de repente los servicios dejan de funcionar y aparecen los sustos en las cuentas bancarias de los afectados. Existen de hecho sitios web que tratan de analizar la validez de estos servicios como VPNRanks y que entre otras cosas revelaron los problemas que han existido con Hola.



O bien continúan actuando y se comportan como base de un gigantesco ataque MitM (Man-in-the-Middle) que puede sustraer enormes cantidades de datos de todos esos usuarios. A partir de ahí, posibilidades infinitas para esos atacantes, que pueden modificar los datos que nos llegan en nuestras sesiones de navegación "disfrazando" las webs de destino y cambiándolas por otras, o puedeninyectar todo tipo de información y malware en nuestros ordenadores sin que nos enteremos.


Ese mismo principio es el que se puede aplicar a esas botnets que en realidad se crean cuando uno accede a una VPN. El responsable del servicio cuenta con la enorme responsabilidad de gestionar todas esas conexiones protegidas, y todo ese ancho de banda gestionado permite que como en el citado caso de Hola sus responsables reaprovechen esa botnet para ofrecer esa capacidad a usuarios de pago. Que pueden ser a su vez ciberdelincuentes en busca de botnets baratas con las que realizar sus ataques, por supuesto.



¿Qué debe proporcionar un buen servicio VPN?


Parece evidente que los servicios VPN gratuitos son una puerta abierta a los problemas, y si alguna vez utilizáis uno de ellos o lo habéis utilizado, estaréis expuestos a esos riesgos. Las empresas que cobran por este tipo de servicios no es que estén exentas de problemas, desde luego, pero las garantías de contar con un servicio más recomendable son mucho mayores.




[caption id="attachment_4132" align="alignnone" width="650"]Como decían nuestros compañeros de Genbeta, una VPN es un poco como Portal: en lugar de salir por la puerta de tu habitación, abres un portal y sales por la puerta de otro sitio. Como decían nuestros compañeros de Genbeta, una VPN es un poco como Portal: en lugar de salir por la puerta de tu habitación, abres un portal y sales por la puerta de otro sitio.[/caption]

Y sin embargo, pueden ocurrir cosas como la que le ocurrió a Cody Kretsinger, un hacker del grupo LulzSec que fue uno de los responsables de los ataques que los servidores de Sony Pictures Entertainment sufrieron en 2011. Kretsinger utilizaba una VPN muy popular llamada HideMyAss (el nombre es bastante descriptivo) para esconder esos ataques que realizaba para acceder a servidores controlados por Sony Pictures.


El problema es que HideMyAss registraba las IPs de los usuarios y sus horarios de entrada y salida del servicio. Una corte del Reino Unido exigió a HMA que le ofreciera esos datos para investigar los ataques, y eso permitió a la justicia identificar y arrestar a Kretsinger. Aunque los proveedores de estos servicios son capaces -aunque no deberían hacerlo- de monitorizar toda la actividad web de los usuarios, lo que sí suelen hacer es registrar esas IPs y esas horas de entrada y salida del servicio. Eso implica un grave riesgo para quien precisamente trata de usar esos servicios para proteger su privacidad.


Así pues, a la hora de buscar una VPN que nos garantice esa privacidad necesitaremos leer atentamente los términos de servicio de ese proveedor para comprobar si esa información queda o no registrada, y durante cuanto tiempo. Muchos VPN indican que solo almacenan la información personal necesaria para crear una cuenta y procesar el pago, pero destacan que no registran esas direcciones IP, esos horarios o el uso del ancho de banda que hemos hecho durante las sesiones. No solo eso: permiten pagar con criptomonedas como bitcoin, algo que añade un grado más de seguridad y privacidad en esa transacción si realmente queremos proteger nuestra identidad.


VPN_1


Si usáis un servicio de este tipo con la idea de poder ver emisiones de servicios de streaming, por ejemplo, lo más importante es que esos servicios os ofrezcan esas "ubicaciones de salida" que simulen que vuestro ordenador está en Estados Unidos, en China, o donde proceda. Aquí también puede resultar interesante contratar los servicios de un proveedor VPN que esté fuera de nuestro país para evitar mayores problemas legales de los necesarios, por lo que si el proveedor tiene múltiples servidores localizados en distintas partes del mundo, éste resulta más interesante a la hora de garantizar nuestra privacidad y seguridad.


Temas como las características de filtro anti-malware o anti-spyware son también importantes, como también lo es -y cada vez más- el uso de servicios que proporcionan características especiales para dispositivos móviles. Mucho más técnica resulta la comparación de los distintos protocolos utilizadosen servicios VPN (PPTP, L2TP, OpenVPN, SSTP, IKEv2), y en general los expertos parecen recomendar especialmente OpenVPN y precisamente destacan que mejor no fiarse mucho de PPTP. Con todos estos datos quizás podáis valorar mejor lo importante que es elegir no solo un VPN de pago, sino uno que se adapte a vuestras necesidades de la forma adecuada. En TorrentFreakrealizaron una comparativa de servicios recomendados hace unos meses que puede servir como referencia para los que estéis interesados en este tipo de soluciones.


Fuente:http://www.xataka.com/



Cuál es el gran problema de las VPN gratis y por qué deberías llevar cuidado
Noticias de seguridad informática

No comments:

Post a Comment