PrivacyTools.io

Una guía completa sobre las redes privadas virtuales (VPN)

Una guía completa sobre las redes privadas virtuales (VPN)

Hay muy pocos lugares en los que de verdad confíe para conectarme directamente a Internet. Ni siquiera hago cosas como la banca online o iniciar sesión en mi Bitwarden desde el trabajo, porque la conexión está abierta (no está protegida con contraseña ni cifrado) y, por tanto, es mucho más vulnerable a un ataque desde fuera. Mi conexión de casa es probablemente la más segura porque es algo que he configurado yo mismo y que puedo supervisar, pero incluso así, el módem que suministra nuestro proveedor de internet y que hace también de router wifi no ofrece la mejor seguridad posible.

Aquí es donde entran en juego las redes privadas virtuales. Si se eligen y configuran correctamente, nos garantizan una conexión segura, privada y a menudo anónima a la Internet abierta. Es decir, podemos navegar libremente sin restricciones y libres de vigilancia. En su mayor parte, quienes lean esto no tendrán ningún motivo serio para evitar la vigilancia, pero las personas tienen derecho a la privacidad y no deberían ser espiadas. Aunque sea solo por el administrador del sistema del wifi gratuito de un Starbucks. La cuestión se reduce a elegir un VPN que se ajuste a tus necesidades. Algunos ofrecen muchas ubicaciones por todo el mundo, otros una tarifa realmente buena y precios anuales estupendos. Yo tiendo a apoyar y a usar a los proveedores que ofrecen la mejor privacidad, seguridad y anonimato, aunque eso implique pagar un poco más. A menudo, los proveedores más baratos solo pueden ofrecer precios tan buenos porque llenan sus servidores hasta arriba y no se preocupan “de verdad” por ser demasiado privados. Así que vamos a verlo desde la perspectiva de alguien que necesita seguridad de primera, privacidad a prueba de espías y un alto nivel de anonimato, repasando algunos de los proveedores que he investigado como los mejores en estas áreas.

Idealmente, vamos a querer un proveedor que no tenga su sede en uno de los “países de los 5 Ojos” (https://www.privacyinternational.org/press-release/51/privacy-international-launches-international-campaign-greater-transparency-around). Esto significa que no puede tener su sede en Canadá, Estados Unidos, el Reino Unido, Australia o Nueva Zelanda, debido a su acuerdo de compartir información entre ellos sin demasiadas preguntas. Suelen tener agencias de inteligencia (como la NSA y el GCHQ) que hacen una buena cantidad de minería de datos y vigilancia de las personas dentro de su país por “asuntos de seguridad nacional”. También te advertiría que te mantengas alejado de cualquier cosa listada dentro de los “países de los 14 Ojos” si vas a depender de este proveedor para tu seguridad personal. El proveedor que elijas tampoco debería ofrecer la opción de una dirección IP dedicada. Las IP compartidas son estrictamente el camino a seguir si quieres el máximo anonimato, porque así no se singulariza tu IP entrante para emparejarla con la IP saliente del VPN. Más difícil de registrar y rastrear, pero desde luego no imposible.

Los métodos de pago aceptados son también una consideración que no debes tomarte a la ligera. Obviamente, no querrías pagar con tu PayPal o tu tarjeta de crédito si buscas un anonimato total. Bitcoin bien mezclado que no lleve de vuelta hasta ti, efectivo por correo y las PaySafeCards son todos métodos de pago que se consideran muy anónimos si se hacen correctamente. El cifrado y los protocolos que ofrece la empresa del VPN también deberían tenerse en cuenta antes de hacer una compra. A menudo verás el término “cifrado de grado militar” cuando andes buscando un buen proveedor. Por lo general, esto solo significa que emplean AES-256 y claves RSA de 4096 bits, pero es importante comprobar si ofrecen Perfect Forward Secrecy y buenas curvas para las claves ECHDE (http://vincent.bernat.im/en/blog/2011-ssl-perfect-forward-secrecy.html , https://www.perfectforwardsecrecy.com/ , https://safecurves.cr.yp.to/).

Profundizando un poco más en los proveedores a medida que comparas, deberías revisar las ubicaciones de servidor que ofrecen y ver si están en jurisdicciones a las que te sientas a gusto conectándote. Este sería un buen momento para ver si alguna de las páginas a las que quieres conectarte solo funciona en ciertos países (como Hulu, Pandaora, Netflix, etc.). Además, como mencioné arriba con los certificados SSL y cómo puedes comprobar que la página implementa estándares fuertes para HTTPS, deberías revisar la página del proveedor de VPN para ver qué tipo de SSL usan. Si no obtienen una calificación de A, yo desaconsejaría usarlos como proveedor, porque demuestra que claramente o no pueden tomarse el tiempo de conseguir una buena puntuación de SSL (aunque sea solo por la imagen) o que no tienen los conocimientos suficientes para lograrlo; un hecho que podría apuntar a que su servicio se sostiene sobre montañas de afirmaciones falsas. También es bueno ver qué tipo de protocolos promueven y no solo cuáles admiten. La mayoría de los buenos proveedores al menos ofrecen un cliente para Windows y han añadido funciones como kill switches y firewalls para detener las fugas de DNS/IP. Sin embargo, vi a unos cuantos proveedores que afirmaban que conectarse por L2TP era la mejor opción, cuando desde luego no lo es. Para leer más sobre los distintos protocolos, puedes consultar este enlace: https://www.ivpn.net/pptp-vs-ipsec-ikev2-vs-openvpn-vs-wireguard/

A continuación tienes reseñas de los 4 proveedores de VPN que he usado y en los que confío. También puedes consultar este enlace a una web (antes un documento de Google) creada por ThatOnePrivacyGuy. Documenta muchos más proveedores que solo estos 3, pero es algo que ha respaldado mis decisiones de recomendar estas empresas.

IVPN

Para arrancar con las reseñas personales, he decidido empezar con el proveedor de VPN que uso desde principios de 2013. IVPN, originalmente constituida en Malta pero que recientemente se ha mudado a Gibraltar debido a los cambios en las leyes de privacidad, está dedicada a tu privacidad. Ofrecen 12 países y un total de 19 servidores (datos de abril de 2016), lo que es una red bastante pequeña comparada con muchos otros proveedores. Sin embargo, estoy contento con las ubicaciones que han elegido. Puedes ver la lista completa de ubicaciones aquí: https://www.ivpn.net/status. Se promocionan en Twitter como “IVPN is an online privacy and security service”, lo que para mí es un paso adelante frente a toda la palabrería sobre cifrado de grado militar y sobre no registrar datos que circula demasiado a menudo por la comunidad VPN. Indican con mucha claridad en su política de privacidad (https://www.ivpn.net/privacy) qué información se registra y cuál no. Lo bueno de las conexiones a los servidores de IVPN es su tecnología multihop, que te permite conectarte a través de dos servidores IVPN separados antes de llegar a la Internet abierta. Esto te da como usuario más anonimato, ya que ambos servidores tendrían que verse comprometidos para comprometer tu identidad; a menos que activaran el registro, por supuesto. Su equipo de administración también me informó de que todos los servidores VPN funcionan desde la RAM, de modo que todo lo que se escribe es solo temporal antes de borrarse. Como usuario, no puedo confirmarlo, pero confío en su palabra. Espero que no sea una confianza mal puesta. Los protocolos de cifrado utilizados están expuestos abiertamente en sus respuestas a las “18 Questions to ask your VPN Service Provider” en su página de soporte (https://www.ivpn.net/knowledgebase/108/Answers-for-18-Questions-to-ask-your-VPN-Service-provider.html). Indican que usan AES-256 con claves RSA de 4096 bits en todo momento, lo que consideran “Paranoid Encryption”. Me interesaría saber cuáles son sus ideas sobre la criptografía poscuántica. Al revisar los archivos OpenVPN que se dan al usuario para descargar, pude determinar que usan TLS-DHE-RSA-WITH-AES-256-CBC-SHA:TLS-DHE-DSS-WITH-AES-256-CBC-SHA:TLS-RSA-WITH-AES-256-CBC-SHA para la suite de cifrado TLS, así que puedes quedarte tranquilo de que Perfect Forward Secrecy SÍ existe en IVPN. Están usando el nivel de cifrado más alto posible actualmente para OpenVPN (aparte de permitir DSS y SHA1 para clientes más antiguos), lo cual es muy bueno. Puedes confirmar tú mismo el cifrado utilizado descargando los archivos .ovpn de su web y abriéndolos en un editor de texto, pero esto no confirmará que esos mismos estándares se empleen a través de sus apps nativas. Pero, en serio, ¿por qué no iban a hacerlo?

En cuanto al pago y los precios, IVPN está definitivamente en la gama alta, con 100 USD por una suscripción anual. Pero ofrecen PayPal, Bitcoin y efectivo por correo, así que se ofrecen dos métodos de pago posiblemente anónimos y uno muy fácil y renovable (PayPal). Sus planes dan acceso a todos los servidores, lo cual es un cambio agradable frente a los proveedores de VPN que dividen sus planes según un montón de factores distintos como la velocidad, las ubicaciones de servidor, etc. Registrarse fue fácil y no pidieron nada más que un correo electrónico, una contraseña y mi pago. Eso significaba que no había que entregar ninguna información identificativa. IVPN proporciona además un warrant canary de forma mensual, como manera de decir “Oye, no hemos recibido ninguna orden de silencio gubernamental”, y una sección entera de su web dedicada básicamente a ser 100 % anónimo tras un VPN. Te sugiero que le eches un vistazo, he sacado buena parte de mis propios conocimientos de estos textos: https://www.ivpn.net/privacy-guides

Como nota final, he verificado muchísimo con su equipo de administración mediante correo cifrado con PGP (bastante genial que mantuvieran conversaciones bastante largas conmigo en forma cifrada), así que tengo mucha confianza personal con la empresa. Pero el hecho de que yo tenga mucha confianza personal no te da luz verde para depositar también un montón de tu confianza en ellos. Deberías hacer tu propia investigación y plantear tus propias preguntas para asegurarte de que son la empresa que se ajusta a tus necesidades. Los aplaudo enormemente por el trabajo que hacen, pero no pongo todos los huevos en la misma cesta. He estado realmente satisfecho con su servicio a lo largo de los años, pero me doy cuenta de que en un mercado muy competitivo es difícil situar a un único servicio de VPN en lo más alto.

Mullvad

Esta reescritura de la reseña de Mullvad surgió a raíz de cambios importantes en su empresa a lo largo de los últimos 2 años desde que empecé a escribir este texto.

Mullvad es un proveedor al que ahora bautizo como “sin tonterías”. Describen su servicio, su empresa y sus prácticas con mucha claridad en su web, sin nada de la palabrería del “teatro de la seguridad” sobre cifrado de grado militar y prácticas de CERO registro. Para empezar, su web afirma: “Para una seguridad máxima, usamos servidores físicos, bare metal (nada de servidores virtuales), que administramos y que poseemos o alquilamos en centros de datos cuidadosamente seleccionados.” Tampoco tuve que hurgar para conseguir esta información. Está muy cómodamente colocada en su página de funciones y es fácilmente accesible para cualquiera que revise su web. También indican de forma muy explícita el cifrado usado en las conexiones:

  • Nuestro cifrado de datos es AES-256
  • Todos nuestros servidores OpenVPN usan certificados RSA de 4096 bits (con SHA512) para la autenticación del servidor
  • Todos nuestros servidores OpenVPN usan parámetros Diffie-Hellman de 4096 bits para el intercambio de claves
  • Todos nuestros servidores OpenVPN usan DHE para Perfect Forward Secrecy
  • La renovación de claves de OpenVPN se realiza cada 60 minutos

Creo que tener esta información expuesta de forma tan clara en su web es un gran punto a favor de su capacidad para cortar con las tonterías de los VPN y darle al lector simplemente los hechos. Sin embargo, no se quedan ahí. Su página de funciones explica además que las cuentas de Mullvad no necesitan ninguna de tus informaciones para registrarse; ni siquiera una dirección de correo electrónico. Solo rellenas un CAPTCHA y te genera una cadena de caracteres que se usa tanto de nombre de usuario como de contraseña para las conexiones. Esto, así como una gran cantidad de información adicional sobre los datos que sí y que no recopilan y almacenan, se lee mejor aquí: https://mullvad.net/en/help/no-logging-data-policy/

Si profundizas un poco más en su web, descubrirás que ellos, como IVPN, publican una especie de “Privacy Guides” aquí: https://mullvad.net/en/help/guides/. Aunque estas guías no parecen tan “completas” como las publicadas por IVPN, siguen siendo un recurso maravilloso para tener listado en su web. Son además uno de los primeros proveedores que he revisado que admiten el protocolo WireGuard para la conexión. Aunque actualmente solo está disponible para Linux, WireGuard implementa criptografía interesante que va más allá del simple AES-256 y RSA de 4096 bits, en concreto: “Noise protocol framework, Curve25519, ChaCha20, Poly1305, BLAKE2, SipHash24, HKDF, and secure trusted constructions.” Poder usar criptografía de curva elíptica con las conexiones VPN es maravilloso.

Un punto que me pareció de especial interés en la sección de blog de su web es su trabajo hacia la criptografía poscuántica y la introducción de un VPN en el futuro que sea capaz de resistir la amenaza inminente de la computación cuántica (https://mullvad.net/en/blog/2017/12/8/introducing-post-quantum-vpn-mullvads-strategy-future-problem/). Ver a un proveedor mirando hacia el futuro, no en su propio beneficio económico, sino por la privacidad y la seguridad de su clientela, es algo realmente estupendo de ver. Creo que este trabajo, en paralelo al trabajo que ProtonMail está haciendo con el correo seguro, es crucial para desarrollar tecnología que supere los mínimos y vaya más allá.

Cryptostorm

Por último, llegamos a un proveedor en el que solo empecé a fijarme de verdad hacia septiembre de 2015. Todavía estaba muy satisfecho con IVPN, pero mi suscripción llegaba a su fin, lo que significaba otro largo proceso de anonimizar un método de pago, y quería asegurarme de que la empresa que iba a seguir apoyando obtuviera la mayor cantidad de estrellas en mis valoraciones personales de mis “compras” online. Había oído cosas asombrosas sobre la red de CS y quería ver de qué iban con más detalle que solo hojear su página como había hecho unos años antes.

Lo primero que notas cuando vas a la web de Cryptostorm es lo que muchos perciben como un caos difícil de seguir, difícil de leer, pero de algún modo atractivo. Es distinta a la de todos los demás proveedores y casi poco profesional; pero esa sensación de diferencia parece atraerme más. Algo así como Mullvad era tan directo y minimalista, la naturaleza peculiar de la web de Cryptostorm cuenta una historia de diversidad. Para empezar, son una empresa que “más o menos” tiene su sede en Islandia, pero que gestiona todas sus finanzas desde Quebec, en Canadá (en realidad no tienen una ubicación clara, ¿no dificultaría esto entregarles una citación?). Islandia es un buen país centrado en la privacidad para estar constituida (aunque no tengan una oficina central en ningún sitio) y siempre me han gustado los dominios .is.

Navegar por su web para obtener la información que uno podría querer al elegir un proveedor era bastante difícil, así que recurrí a su IRC para que me respondieran algunas de mis preguntas. No estaba familiarizado con la autenticación basada en tokens antes de preguntar por ahí y obtener una respuesta más detallada, pero según entiendo, sustituye la autenticación de usuario/contraseña por un token generado que debe pasarse por un hash antes de usarse. Este token es aleatorio; pasarlo por un hash lo hace aún más aleatorio. Así que el servidor no debería tener absolutamente ninguna información sobre los usuarios, siempre que paguen usando Bitcoin anonimizado (que es el método de pago preferido que ofrecen). El cifrado que se usa no está claramente ubicado en su página, así que uno tiene que hurgar un poco más y pasarse por su GitHub para revisar tú mismo los archivos de configuración .ovpn. Esto es lo que se muestra:

ns-cert-type server auth SHA512 cipher AES-256-CBC replay-window 128 30 tls-cipher TLS-DHE-RSA-WITH-AES-256-CBC-SHA tls-client key-method 2 #log devnull.txt #verb 0 #mute 1

El cifrado usado parece ser de muy alto grado, empleando DHE para Perfect Forward Secrecy, AES de 256 bits y SHA512. Sin embargo, esto no indica el tamaño de las claves RSA utilizadas. Tras contactar con uno de los administradores acerca del cifrado usado, este fue el correo de respuesta que recibí. De verdad te muestra la calidad que ofrece Cryptostorm cuando están dispuestos a llegar a este punto para cuidar de sus clientes.

Un trabajo actualmente en desarrollo en Cryptostorm que reduciría seriamente el riesgo de ataques de correlación o la posibilidad de que tu IP llegue a filtrarse alguna vez, de que se comprometan las claves de cifrado o de que se exponga tu identidad, se conoce como Voodoo. Puedes leer más sobre esa idea emergente en su página de GitHub aquí: https://github.com/cryptostorm/voodoo.network

En lo que respecta a un warrant canary, Cryptostorm no ofrece ninguno y no parece tener planes de hacerlo. En su lugar, ofrecen un “Privacy Seppuku Pledge”, que es su forma de decir que cerraremos, borraremos los servidores, eliminaremos todo y nos haremos los muertos antes de entregar información sobre nuestros clientes.

En conjunto, tengo mucha confianza en el servicio que ofrece Cryptostorm y estoy seguro de que una persona con un modelo de amenaza moderado podría recibir la máxima seguridad, privacidad y anonimato usando su VPN. Son como el empollón que está delante en clase, que es increíblemente listo, pero con quien es muy difícil conectar y al que cuesta entender. ¡Y creo que eso es algo bueno!