La VPN, o Red Privada Virtual, es una forma de navegar por la web de forma segura y evitar que los sitios web vean tu ubicación general. Pero también puede ser pirateada, y no estás realmente seguro cuando navegas por internet cuando utilizas una VPN.

Soy Aaron, un abogado y profesional/entusiasta de la tecnología con más de 10 años de trabajo en ciberseguridad y con tecnología. Personalmente uso una VPN cuando navego por la web desde casa y me parece una gran herramienta para mejorar mi privacidad en línea.

En este post, explicaré por qué y cómo las VPNs pueden ser hackeadas y por qué y cómo los proveedores de VPNs pueden ser hackeados. También explicaré cómo puedes ser afectado y lo que eso significa para tu uso de la VPN.

Puntos clave

• Con suficiente tiempo y atención de los ciberdelincuentes, cualquier cosa puede ser hackeada.
• Los servicios VPN pueden ser y han sido hackeados.
• Los impactos de un hackeo de una VPN pueden ser significativos.
• Puedes seguir navegando con seguridad sin una VPN.

¿Qué es una VPN y por qué se utiliza?

La VPN, o Red Privada Virtual, es una forma de ocultar su identidad en Internet. Funciona creando una conexión segura entre su ordenador o dispositivo móvil y un servidor en algún lugar del mundo. Todo su tráfico de Internet, entonces, se dirige a través de ese servidor.

Eso significa que, a todos los efectos, el mundo te ve como ese servidor.

Cuando usted visita un sitio web, solicita información a ese sitio -o mejor dicho, a los servidores que lo almacenan- y esos servidores le piden información a usted. Concretamente, el sitio le pregunta: ¿cuál es su dirección para poder enviarle datos?

Esa dirección se llama dirección IP, o de Protocolo de Internet. El servidor del sitio pide esos datos para poder enviarle la información que necesita para ver el sitio. Esto ocurre cada vez que hace clic en un enlace, cada vez que transmite un vídeo o cada vez que escucha música en línea.

Lo que hace un servidor VPN es crear una conexión segura entre usted y el servidor. A continuación, el servidor solicita datos de los sitios web en su nombre y proporciona su dirección a esos sitios. Luego le devuelve la información a través de esa conexión segura.

¿Por qué querrías hacerlo? He aquí un par de razones:

• Hoy en día, casi todos los sitios web solicitan información sobre su ubicación. Basándose en su ubicación y en sus hábitos de búsqueda, las empresas en línea pueden asociar su dirección IP con su ubicación real y su nombre. Es posible que no quiera que eso ocurra.
• No puedes acceder a los contenidos de vídeo o música en tu país. Tener una dirección IP basada en otro país puede evitarlo.
• Muchos países tienen sanciones legales civiles para el intercambio de material protegido por derechos de autor. Tener una dirección IP diferente hace que sea más difícil asociar esa actividad con un individuo. Verás más adelante en el artículo por qué el uso de VPN para este propósito es un placebo, en el mejor de los casos.

¿Se puede piratear una VPN?

La mejor manera de responder si una VPN puede ser hackeada o no es pensar en los componentes principales de la VPN:

• Una aplicación en el ordenador o en un navegador web.
• Una conexión entre el ordenador/navegador y un servidor VPN.
• El propio servidor VPN.
• Una empresa que proporciona y gestiona la aplicación, la conexión y el servidor.

Cada elemento de la conexión VPN puede verse comprometido, lo que, a su vez, compromete el enmascaramiento de su dirección IP. En resumen: puede ser identificado como usted en Internet.

Algunas de las formas en que los servicios VPN pueden ser hackeados son:

1. Los servidores VPN registran información con fines de diagnóstico y seguridad. Parte de esa información puede incluir las direcciones IP de los ordenadores que se conectan a esos servidores. Si un servidor VPN se ve comprometido, alguien puede robar esos registros y leerlos, descubriendo la verdadera identidad en línea de los usuarios de la VPN.

2. Al igual que los servidores de VPN pueden verse comprometidos, las empresas que los gestionan también. Si esas empresas mantienen información de registro, esa información puede ser robada. Esto le ocurrió a NordVPN en 2018, cuando uno de sus centros de datos se vio comprometido.

3. La aplicación legítima de la ley (por ejemplo, una orden) y las investigaciones de procesos legales (por ejemplo, una citación) pueden obligar a revelar la información recopilada por una empresa de VPN.

4. La conexión entre el ordenador/navegador y el servidor VPN puede ser secuestrada y redirigida a un ciberdelincuente que esté recopilando datos mientras pasa las solicitudes. Esto se llama un "ataque de hombre en el medio". Sin embargo, como se ha demostrado en una serie de ataques a NordVPN, TorGuard y Viking VPN, un actor de amenaza puede robar esosEso les permitiría desencriptar el flujo de datos con facilidad.

5. El ordenador/navegador de origen puede verse comprometido con código malicioso o con el acceso a ese punto final. Se reveló que esto fue explotado activamente en Pulse Connect Secure, un proveedor de VPN corporativo, a principios de 2021 (fuente).

¿Cómo puedo saber si mi VPN ha sido hackeada?

Desafortunadamente, no hay manera de que usted, como usuario final, sepa si su conexión VPN está comprometida hasta que el proveedor de la VPN informe de un problema públicamente.

¿Qué ocurre si mi conexión VPN es pirateada?

Usted será identificable en Internet. En algunos casos, el compromiso de la privacidad en línea dará lugar a que las empresas en línea recopilen más datos sobre usted, sus comportamientos y preferencias. Para algunos, esto puede ser una atroz violación de la confianza. Para otros, es una molestia, en el mejor de los casos.

Si su uso principal de una conexión VPN es ver vídeos que sólo están disponibles en otras ubicaciones geográficas, entonces puede que no tenga suerte. El compromiso de esa conexión y su capacidad para ocultar su verdadera dirección y ubicación pueden impedirle consumir contenidos que no están disponibles en su región.

Si el servicio VPN se ve comprometido, las cosas se complican para los usuarios de VPN si infringen la ley mientras utilizan el servicio. Las complejidades del derecho internacional son demasiado profundas para destacarlas aquí. Basta con decir que si vives en un país que tiene poder de orden o citación sobre el servicio VPN que estás utilizando, entonces hay un alto riesgo y probabilidad de que esos registros de tu uso sean divulgados.

Si su uso puede estar vinculado con el servidor VPN y el servidor VPN está vinculado con la actividad ilegal, entonces por extensión su uso puede estar vinculado con la actividad ilegal. Usted puede entonces ser sancionado por esa actividad y la gente lo ha hecho en el pasado.

Preguntas frecuentes

Aquí hay otras preguntas que puede tener, las responderé brevemente a continuación.

¿Son los servicios VPN de pago más seguros que los gratuitos?

Sí, pero sólo en el sentido de que los servicios de VPN gratuitos casi seguro que venden su información. Por lo demás, todas las demás consideraciones son idénticas.

Un dicho que me ha servido en el mundo de la tecnología: si te dan un producto gratis, entonces tú eres el producto. Ningún servicio de VPN se ofrece como un bien o beneficio público y los servicios de VPN son caros de mantener. Tienen que ganar dinero en algún sitio y vender tus datos es rentable.

¿Se puede hackear NordVPN?

Eso no significa que sea un mal servicio; de hecho, está considerado como uno de los mejores.

Conclusión

Los servicios VPN pueden ser y han sido pirateados. ¿Qué significa eso para usted, el usuario final?

Si está planeando hacer algo que es cuestionable o definitivamente ilegal en su jurisdicción pero quiere usar una VPN para ocultar su actividad, entonces debe ser consciente de los riesgos.

Si la utilizas para eludir las restricciones de geolocalización, debes entender que puede no ser totalmente eficaz en todas las situaciones. Como con cualquier herramienta, utilízala con inteligencia y sigue las instrucciones de seguridad.

¿Utilizas un servicio de VPN? ¿Cuál? Comparte tu preferencia en los comentarios.