Hoy vamos a hablar de las VPNs y un fraude que se acaba de destapar.
Las siglas VPN se corresponden en inglés a «red privada virtual» (virtual private network).
¿Qué hacen y para qué sirven?
Cuando nos conectamos a internet de forma normal, nuestro ordenador (o tablet, móvil… hasta nuestra smart TV) lanza una petición a internet (a un servidor… no a mí, a un servidor de internet) para que le devuelva algo. Un video que queremos ver, un formulario del banco para que podamos ver nuestras finanzas…
Esta petición le dice a ese servidor quiénes somos y qué queremos, y el servidor nos manda lo que le hemos pedido.
Esa información navega por internet sin encriptar, de modo que cualquier actor malicioso puede interceptar el tráfico y no sólo saber qué estamos haciendo, sino además modificar la información. Un ejemplo son páginas de internet con poca seguridad (cada vez menos), donde los datos de usuario y contraseña se pasan sin encriptar.
Una VPN hace de intermediario, de modo que:
- Encripta la información. Un actor malicioso que intercepte los datos no podrá leer ni cambiar nada.
- Hace de intermediario legal. Incluso aunque ese actor pudiera leer los datos, no sabría quién lo manda ni quién lo recibe, dado que la VPN pide los datos a su nombre y sólo la VPN sabe quién ha hecho la petición.
Problema con las VPN gratuitas
Recientemente ha saltado la noticia de que un grupo de hackers ha utilizado VPNs gratuitas para engañar a los usuarios y usar sus direcciones para usos maliciosos.
Las ventajas de las VPNs han quedado claras más arriba, pero el problema es que todo vuestro tráfico para por el servidor VPN. Si el servidor es de fiar estamos aumentando la seguridad. Si no, en realidad estamos poniéndonos en riesgo, dado que el actor malicioso de la segunda figura se está disfrazando de VPN.
Eso es exactamente lo que acaba de ocurrir. Un grupo de hackers ha creado una serie de aplicaciones de VPN gratuitas que en realidad mandan los datos a sus servidores. A su vez, realizan peticiones falsas en nombre de sus «clientes» para cometer actos delictivos.
Por ejemplo:
Yo soy cliente de esta VPN maliciosa.
Le pido un vídeo de gatos, y la VPN manda dos peticiones. Una a youtube para devolverme mi vídeo de gatos y que no sospeche, y otra a un banco para hacer una transacción ilegal con mi dirección (y su cuenta bancaria, no la mía), pero de esta no me entero.
De este modo el hacker ha conseguido hacer una transacción ilegal, pero nada apunta a que haya sido él. Todo apunta a que he sido yo quien ha hecho la transacción (según los datos que haya dado al registrarme en la VPN puede que con un nombre falso, pero da igual, porque la transacción figura como ejecutada desde mi casa).
Que sea una VPN gratuita no quiere decir maliciosa, igual que siendo de pago no tiene por qué ser legítima, pero las que han descubierto como maliciosas son estas:
- MaskVPN
- DewVPN
- PaladinVPN
- ProxyGate
- ShieldVPN
- ShineVPN
A cambio, hay muchos servicios de VPN legítimos. Muchos de ellos vienen junto a la suscripción del antivirus, pero en cualquier caso dejo este artículo donde aparece una lista de VPNs interesante.