Las redes privadas virtuales están diseñadas para preservar la privacidad en línea cifrando el tráfico de Internet y ocultando direcciones IP que pueden usarse para determinar la ubicación del usuario. La mayoría de los usuarios son conscientes de esto cuando intentan acceder a un sitio web o servicio cuando se encuentran en el extranjero. La dirección IP generalmente activa la carga de una URL en el área local y puede restringir el acceso a un servicio o sitio de EE. UU. Se puede utilizar una VPN para eludir dichas restricciones y limitaciones. Por ejemplo, a un usuario estadounidense que viaja a Europa se le podría bloquear el acceso a servicios de streaming pagos a los que podría acceder si estuviera ubicado físicamente en los EE. UU. Una VPN enmascara la dirección IP europea local y puede permitirle a la persona ver contenidos en los EE. UU. contenido.
Luego, un servidor VPN reemplaza una dirección IP por la suya propia a medida que pasa los datos cifrados a la Internet pública. Por ejemplo, si vive en Nueva York, su dirección IP mostrará que se está conectando desde Nueva York. Sin embargo, si se conecta a un servidor VPN con sede en Ámsterdam, la dirección IP parece indicar que el usuario tiene su sede en los Países Bajos.
VER: Ataques de fuerza bruta y diccionario: una guía para líderes de TI (Premium de TechRepublic)
A primera vista, las VPN parecen ocultar la huella digital de un usuario. Sin embargo, son no es garantía de completo anonimato. Por ejemplo, los ISP saben cuándo alguien está usando una VPN, pero no pueden ver la actividad en línea específica protegida por una VPN, como el historial de navegación, consultas de DNS, archivos descargados y datos personales. Sin embargo, las VPN son útiles para evitar que el Gran Hermano (en forma de varias agencias gubernamentales) espíe a los usuarios y los lugares que visitan en línea. El uso de un túnel VPN cifrado ofrece una gran protección contra miradas no deseadas.
Pero las VPN no son una panacea. Si un sistema es pirateado, un ciberdelincuente puede saber lo que está sucediendo, independientemente de la VPN. Y en determinadas circunstancias, se puede conceder acceso a los datos de la VPN a la policía y a las agencias gubernamentales.
¿Cómo puede la policía rastrear una VPN?
La mayoría de las veces, a la policía no se le permite rastrear el comportamiento en línea ni obtener acceso a los datos de VPN. Pero los delitos graves alteran la ecuación. En caso de un delito grave, la policía puede solicitar recibir datos en línea del ISP de un usuario. Si se utiliza una VPN, se le puede pedir al proveedor de VPN que proporcione los detalles del usuario. Por ejemplo, las fuerzas del orden han podido acceder a datos de VPN para rastrear a depredadores infantiles y acosadores en Internet. Los registros de VPN permitieron a los investigadores encontrar las direcciones IP reales de los perpetradores. La policía no tendrá disponible una dirección IP directa, ya que las VPN cifran los datos y los enrutan a través de sus servidores. Pero otros datos proporcionados a la policía por un proveedor de VPN pueden permitirles determinar dónde se encuentra un usuario.
¿Qué información puede obtener la policía de su VPN?
La policía puede solicitar legalmente obtener ciertos tipos de información de un proveedor de VPN. Esto incluye: registros de todos los sitios web que visitó un usuario y los servicios utilizados mientras estaba conectado a la VPN, así como direcciones IP reales; los registros de conexión pueden proporcionar a las autoridades detalles como la hora en que alguien usó una VPN para conectarse a un servidor; e información de facturación que muestra su dirección postal y datos bancarios.
Dicho esto, algunos proveedores de VPN promueven una política de no registros, es decir, dicen que su servicio no almacena ningún registro para proporcionar una capa adicional de anonimato. Cuando el proveedor se ve obligado a cumplir con una solicitud de acceso de la policía, no habrá ningún dato que transmitir. Pero en la mayoría de los casos, se puede encontrar algún tipo de información. La información de facturación suele estar disponible, por lo que quienes desean mantener el secreto prefieren pagar en criptomoneda. Además, algunos de los que dicen que tienen una política de no registros, mantienen algún tipo de registros en secreto. La declaración de privacidad debería contar la historia. Y si un proveedor no puede proporcionar una auditoría de seguridad o alguna forma de verificación independiente de sus credenciales de privacidad, es posible que esté registrando algunos datos silenciosamente.
Además, los proveedores de VPN varían en su nivel de cooperación. Algunos estarán felices de proporcionar información a la policía cuando se les proporcione la documentación adecuada. Otros se muestran en gran medida poco cooperativos. Pero incluso para ellos, se puede ejercer suficiente presión como para obligarlos a cumplir.
¿Puede la policía rastrear direcciones IP?
Si la policía puede obtener acceso a los registros de conexión de VPN, es posible que pueda encontrar la dirección IP real de un usuario junto con otra información relacionada con el uso de datos y las horas en que el usuario se conecta con mayor frecuencia a la VPN. Si la policía obtiene un acceso tan amplio, generalmente puede juntar las piezas para identificar un dispositivo de usuario específico y determinar la identidad del usuario.
¿Se puede rastrear el tráfico en vivo?
La buena noticia es que casi no hay forma de rastrear el tráfico VPN cifrado y en vivo. Las fuerzas del orden sólo pueden obtener datos, si están disponibles, sobre los sitios web visitados, etc. De lo contrario, los piratas informáticos y las agencias gubernamentales espías generalmente quedan bloqueados por el hecho de que los datos están cifrados.
Hay excepciones. Si el dispositivo de un usuario es pirateado o se infiltra un proveedor de VPN, malware puede suministrar silenciosamente datos protegidos por VPN a piratas informáticos y ciberdelincuentes. Se aplican principios básicos de seguridad, como no hacer clic en enlaces maliciosos y correos electrónicos sospechosos, al igual que todas las precauciones habituales para no ser víctima de trucos y estafas de ingeniería social.
Del mismo modo, se recomienda mantener actualizados los sistemas operativos, las aplicaciones y el software VPN mediante parches. Se deben abordar las vulnerabilidades para evitar infracciones. Y en casos muy raros, los piratas informáticos pueden obtener las mismas claves de cifrado utilizadas para proteger los datos de la VPN. Eso les permite acceder al tráfico VPN.
¿Cómo afectan las leyes de retención de datos de los países al seguimiento de VPN?
Ciertos países tienen leyes de retención de datos y otros no. Cuando los datos son confidenciales, es mejor seleccionar un proveedor de VPN en aquellos países que son conscientes de la privacidad. Algunas regiones dejan claro que el proveedor no tiene obligación legal de compartir datos de los usuarios con los gobiernos. Las Islas Vírgenes Británicas, Panamá y Suiza ofrecen un alto grado de protección de datos de los usuarios.
Otras naciones pueden ser más cooperativas con la aplicación de la ley. Por ejemplo, ciertas naciones exigen que los datos se conserven durante ciertos períodos o dentro de las fronteras nacionales. Eso significa que hay un almacén de datos en algún lugar que contiene datos de usuarios de VPN. Esto, a su vez, puede abrir la puerta a que las agencias de ese país puedan solicitar o confiscar datos de las empresas de VPN en su área de jurisdicción. Países a seguir incluyen Estados Unidos, Reino Unido, Australia, Canadá, Nueva Zelanda, Dinamarca, Francia, Países Bajos, Noruega, Alemania, Bélgica, Italia, Suecia, España, Israel, Japón, Singapur y Corea del Sur. Los proveedores de VPN en esos países plantean cierto riesgo de datos. De hecho, es probable que todos estos países cooperen entre sí para obligar al proveedor de VPN a transmitir información del usuario.
También hay países altamente regulados como Porcelana y Corea del Norte, donde Internet está bloqueado a menos que se utilicen sitios y navegadores aprobados a nivel nacional. China ha ideado muchas formas de detectar y restringir el uso de VPN que se utilizan para subvertir sus mecanismos de restricción de contenido. Cualquiera en China debería sospechar que sus datos están disponibles para cualquier agencia gubernamental que desee revisarlos.
¿Cualquier persona en general puede rastrear las VPN?
Cuanto más astuto técnicamente sea el individuo, mayor será la posibilidad de que pueda rastrear los datos de la VPN de una forma u otra. Aunque la VPN cambia una dirección IP y cifra los datos, existen algunas formas de evitar el anonimato. netflix ha sido agresivo en la búsqueda de formas de evitar que cualquier usuario de VPN acceda ilegalmente a contenido específico de un país. Pocas VPN pueden ahora eludir estas protecciones.
Un pirata informático también puede utilizar malware para infectar un dispositivo y revelar una dirección IP real y datos confidenciales. Tenga en cuenta también que las cookies pueden delatar el juego. Incluso con todas las protecciones implementadas, los usuarios de VPN pueden verse frustrados por un caché de cookies que contiene preferencias, sitios web visitados, dirección IP, historial del carrito de compras y más.
Además, los usuarios, agencias y empresas sofisticados pueden aprovechar las huellas digitales del navegador para perfilar a las personas según el sistema operativo y el software instalado en su dispositivo, su zona horaria, especificaciones de hardware, resolución de pantalla y otros identificadores únicos de la huella digital de un individuo. Cruzando todo esto se puede localizar o al menos acotar la identidad del usuario.
¿Las VPN corporativas son privadas?
En el ámbito corporativo, los usuarios de una VPN corporativa pueden estar sujetos a espionaje desde su propia empresa. Por lo general, los empleadores pueden rastrear la actividad de los usuarios en línea si así lo desean, y eso se aplica a las VPN. Todo depende del VPN comercial en uso. Algunos impiden que los empleadores rastreen los datos de los empleados. Otros lo permiten. Pero las empresas probablemente optarán por aquellas VPN que les proporcionen evidencia de que un usuario está involucrado en espionaje, robo de propiedad intelectual, actividad maliciosa o visita sitios web improductivos como pornografía o entretenimiento. Por lo tanto, quienes se encuentran en un entorno corporativo y utilizan herramientas VPN corporativas deben ser conscientes de los riesgos y responsabilidades que conlleva el uso de algunos sistemas comerciales.
¿Y qué hay de la buena gente de Google? Son grandes maestros en el seguimiento de todo lo que ocurre en la web. Eso incluye rastrear a un usuario, independientemente de si usa una VPN o no. Todo lo que necesitas hacer es iniciar sesión en una cuenta, navegador o servicio de Google y «Google te está vigilando».
Como experimento, inicia sesión en una VPN, luego utiliza un motor o servicio de búsqueda de Google y busca un producto muy específico, algo que nunca hayas buscado antes, como un sombrero Stetson o una pantalla de lámpara de cristal. Durante uno o dos días, vea cuántos anuncios recibe repentinamente sobre ese artículo.
Consejos de usuario
Para cualquiera que desee mantener la privacidad de su dirección IP o sus datos mediante el uso de una VPN, la moraleja de la historia es simple.
- Siga las prácticas de seguridad estándar al utilizar una VPN, como parches, antimalware y evite estafas de ingeniería social.
- Usar VPN pagas y evita las gratuitas.
- Verifique que su proveedor de VPN no almacene nada y busque una verificación independiente.