El creciente mercado de las VPNs, al que ahora se suma Google, ofrece la posibilidad de ocultar nuestro tráfico en la red, pero no está exento de riesgos
Cuando un cibernauta se hace a Internet a bordo de una VPN —red privada virtual— sus movimientos de la red se vuelven invisibles para la mayoría de observadores. Al amparo de estos sistemas, que cifran la información del tráfico, hipotéticos ciberdelincuentes, webs indiscretas e incluso prestadoras de servicios de telecomunicaciones se quedan a ciegas. En diciembre de 2019, un 25 % de los usuarios de Internet accedieron a la red a través de estos túneles. La apetencia por estos servicios es tal, que hasta Google ha decidido incluirlos en su cartera. La semana pasada, la compañía anunció el lanzamiento de su VPN para Android en Estados Unidos y sus planes para expandir la nueva herramienta a más países y sistemas operativos en los próximos meses.
¿Quién no quiere unas migajas de invisibilidad digital en los entrometidos tiempos que corren? Recurrir a estas redes, nos permite navegar en condiciones de seguridad, aunque estemos empleando redes públicas. Aunque se intercepte la comunicación, no es posible descifrarla para obtener los sitios que visitamos, lo que hacemos en ellos, la información que enviamos, nuestra IP.
Nadie puede vernos… o casi nadie. El problema de las VPN es que el dueño del túnel puede hacer con él lo que quiera. Confiar nuestro tráfico en Internet a terceros nos expone a la posibilidad de que estos decidan echar una miradita por el ojo de la cerradura. «Los riesgos son muchos. Puedes acabar instalando en tu móvil u ordenador una aplicación que esté precisamente capturando tráfico», explica Juan José Nombela, director de Área Ciencias de la Computación y Tecnología de la Universidad Internacional de La Rioja (UNIR). Así, elegir mal al responsable de proteger nuestra privacidad puede acabar teniendo el efecto contrario. «Quizá actúa como VPN con lo cual otros no pueden ver la información, pero el fabricante puede espiar todo ese tráfico sin cifrar», continúa.
La primera recomendación de Nombela en la elección de estos servicios es también una de las reglas básicas de Internet: no descargar nada que proceda de una fuente que no es fiable. “Cuando usas una VPN estás poniendo toda tu confianza en alguien”, explica Andy Yen, consejero delegado y fundador Proton Technologies, empresa responsable del correo electrónico cifrado ProtonMail y ProtonVPN, el primer servicio de VPN de código abierto.
Yen, apasionado defensor del Internet privado se lleva las manos a la cabeza ante el nuevo papel de Google como prestador de servicios de redes privadas virtuales: “Esto permite a Google ver toda tu actividad en Internet. Ahora mismo, pueden monitorizarte si estás en una web suya o que usa su tecnología. Si usas su VPN, no importa donde estés y qué servicio estés usando. Pueden verlo todo, porque básicamente estás pasando todo tu tráfico por la red de Google”.
Por lo pronto, y de acuerdo con lo que explica el gigante de Mountain View en el paper que detalla el funcionamiento de su VPN, Google no guardará datos de tráfico, direcciones IP de los dispositivos, anchos de banda y horas de conexión de los usuarios que empleen este servicio. «No basta lo que digan hoy, también tenemos en cuenta lo que podrían decir dentro de tres años», advierte Yen, que pone el ejemplo de la compra de WhatsApp por parte de Facebook. «Al principio hicieron ciertas promesas y con el tiempo empezaron a extraer datos de WhatsApp».
Males menores
¿Pero entonces a quién le damos las llaves del reino? Confiar en los proveedores de estas redes privadas va en línea con la lógica del malo conocido que es mejor que el bueno por conocer. Ponemos nuestra intimidad digital en manos de terceros con la esperanza de que ellos garanticen que otros peores no van a poder acceder a ella. En este sentido, para Yen es fundamental que saber quién está detrás de la empresa antes de tomar la decisión: «Al final, el software lo lleva gente. Nos gusta oír hablar de los ordenadores como cosas autónomas y automatizadas, pero cuando confías en una empresa de software estás confiando en una persona», explica. Nombela aconseja acudir al consejo de entidades oficiales especializadas, como la Oficina de Seguridad del Internauta (OSI). «Ellos ya han evaluado algunas herramientas de seguridad para diferentes propósitos. Así, el usuario tiene la garantía de que no se va a encontrar con un caballo de Troya», explica.
La principal baza de Yen para ganarse la confianza de sus usuarios es el código abierto, que permite a la comunidad de usuarios examinar el modo en que están construidas estas herramientas. «Cualquiera tiene la posibilidad de revisar el código fuente y ver lo que está haciendo el software», explica. De este modo, el ojo experto puede comprobar que ProtonVPN cumple su promesa de no almacenar ninguna información de tráfico. «No confiaría en ningún software que no fuese open source«, insiste.
El ojo profano, por otro lado, puede encomendarse a las leyes vigentes en el país donde la empresa que le ofrece estos servicios ubica sus servidores. «En Estados Unidos, por ejemplo, no aplican el Reglamento General de Protección de Datos o la Ley Orgánica de Protección de Datos, con lo cual las garantías no van a ser las mismas. Es recomendable que sea una empresa Europea», precisa Nombela. Además, la localización no solo determina las cuestiones legales sino que puede afectar a la velocidad de la conexión: si los servidores están ubicados demasiado lejos, alargamos innecesariamente la ruta que siguen nuestros datos y consecuentemente, los tiempos de respuesta. «Es importante elegir un proveedor que tenga un rango geográfico amplio y un buen número de servidores en tu región», confirma Yen.
Tomada la decisión, ¿podemos respirar tranquilos? Sí y no. Nombela confirma que estos servicios nos ofrecen una capa más de privacidad, pero no neutralizan otros riesgos. «Es como cambiar la cerradura de tu casa y dejarte una ventana abierta. O como salir a la calle con mascarilla, relajarse y hacer fiestas y botellones. Las precauciones tienen que ser las mismas: cuidado con a qué te conectas, cuidado con lo que te descargas, cuidado con los correos. No hay que relajarse».