¿Se pueden hackear las VPN? Analizamos el tema en detalle

Examinamos las especificaciones de las VPN y si existen vulnerabilidades que los hackers puedan explotar. Compartir

¿Qué es una VPN?

Una Red Privada Virtual o VPN te permite crear un túnel virtual seguro en Internet hacia otra red o dispositivo. Acceder a Internet a través de este túnel virtual hace que sea difícil para cualquiera, hasta para tu ISP, espiar tus actividades online.

Las VPN también te ayudan a ocultar tu ubicación dondequiera que estés y a acceder a servicios geográficamente restringidos. Una VPN protege la confidencialidad (privacidad de los datos) e integridad (no alteración de los datos) de los mensajes durante su recorrido por Internet.

Establecer una de estas conexiones seguras es relativamente fácil. El usuario se conecta a internet a través de un ISP (proveedor de servicios de Internet) y posteriormente inicia una conexión VPN con el servidor VPN a través de un software “cliente”. El servidor VPN recibe la petición de navegación del usuario y devuelve las páginas web solicitadas a través de este túnel seguro, garantizando la seguridad de los datos en Internet.

¿Cómo funciona el cifrado de una VPN?

El protocolo VPN es un conjunto de reglas aceptadas en cuanto a transmisión de datos y cifrado. La mayoría de proveedores de servicios VPN dan a sus usuarios a elegir entre varios protocolos VPN. Algunos de los más utilizados son: Point to Point Tunnelling Protocol (PPTP), Layer Two Tunnelling Protocol (L2TP), Internet Protocol Security (IPSec) y OpenVPN (SSL/TLS).

Para poder entender del todo cómo una VPN protege tu privacidad necesitamos indagar más en la ciencia del cifrado. Una VPN utiliza una técnica conocida como cifrado para convertir tus datos legibles (texto normal) en datos totalmente ilegibles (texto cifrado) que serían inútiles para cualquier persona que pudiera interceptarlos en Internet, y un algoritmo o clave dicta cómo tiene lugar el proceso de cifrado y descodificación en el propio protocolo VPN. Un protocolo VPN usa estos algoritmos criptográficos para ocultar tus datos y mantener tu actividad en la red privada y confidencial.

Cada uno de estos protocolos VPN tiene sus puntos fuertes y débiles dependiendo del algoritmo criptográfico implementado en ellos. Algunos proveedores de VPN dan a sus usuarios a elegir entre diferentes claves de cifrado, y esta clave puede basarse en cualquiera de estas tres clasificaciones: simétrica, asimétrica o hashing.

El cifrado simétrico usa una clave para bloquear (cifrar) y otra para desbloquear (descodificar) los datos. El cifrado asimétrico elimina el problema de que dichas claves caigan en las manos equivocadas usando dos claves, una pública y una privada, para bloquear y desbloquear los datos. La tabla que se muestra a continuación es un resumen de la comparación entre cifrado simétrico y asimétrico.

Atributo Simétrico Asimétrico
Claves Una clave compartida entre varias entidades Una entidad tiene la clave pública, otra tiene la clave privada
Intercambio de claves Requiere un mecanismo seguro para el envío y la recepción de las claves La clave privada la mantiene en secreto el dueño de los datos; la clave pública está disponible para todos
Velocidad Menos complejo pero más rápido Más complejo pero más lento
Solidez Menos difícil de romper Más difícil de romper
Adaptabilidad Buena Aún mejor
Uso Cifrado masivo (es decir, todo) Sólo de la distribución de la clave y firmas digitales
Servicio de seguridad que ofrece Confidencialidad Confidencialidad, autenticación y no-repudio.
Ejemplos DES, Tipple DES, AES, Blowfish, IDEA, RC4, RC5 y RC6. RSA, ECC, DSA y Diffie-Hellman

La criptografía asimétrica es la solución a las limitaciones inherentes a la criptografía simétrica (como se muestra en la tabla superior). Whitfield Diffie y Martin Hellman fueron de los primeros en centrarse en solucionar estas carencias, desarrollando un algoritmo llamado Diffie-Hellman.

Se trata de un algoritmo criptográfico fundamental para muchos protocolos de VPN, como HTTPS, SSH, IPsec y OpenVPN. El algoritmo permite a dos entidades que no se conocen negociar una clave secreta cuando se comunican a través de un canal público no seguro como Internet.

Hashing consiste en un cifrado de sentido único (irreversible) que se utiliza para proteger la integridad de los datos transmitidos. La mayoría de protocolos VPN usan algoritmos hashing para verificar la autenticidad de los mensajes enviados a través de la VPN. Algunos ejemplos incluyen MD5, SHA-1 y SHA-2. Tanto MD5 como SHA-1 ya no se consideran seguros.

Las VPN se pueden hackear, pero es muy difícil hacerlo. La probabilidad de resultar hackeado cuando no se está utilizando una VPN es enormemente mayor que cuando se utiliza una.

¿Puede alguien hackear y acceder a una VPN?

Las VPN siguen siendo una de las maneras más efectivas de mantener la privacidad online. Sin embargo, es importante mencionar que prácticamente cualquier cosa se puede hackear, sobre todo si eres un objetivo de alto valor para alguien y tu adversario tiene suficiente tiempo, fondos y recursos. La buena noticia es que la mayoría de usuarios no entran en la categoría de “alto valor”, por lo que es muy poco probable que acabes en el punto de mira de alguien.

Hackear una conexión VPN requiere o bien descodificar el cifrado mediante algún tipo de vulnerabilidad, o bien robar la clave mediante algún método fraudulento. Los hackers y criptoanalistas utilizan ataques criptográficos para recuperar la información en forma de texto de la versión cifrada de ésta, sin la clave. No obstante, descodificar el cifrado es una tarea que demanda mucho en cuanto a computación y tiempo, y puede llevar años.

La mayoría de los esfuerzos en hacerlo se centran en robar las claves, lo cual es mucho más fácil que descodificar el cifrado. En esto consiste el trabajo principal de las agencias de espionajes que se enfrentan a este tipo de desafíos: su éxito no se debe a matemáticas sino a una combinación de artimañas técnicas, poder computacional, fraude, órdenes judiciales y persuasión “no oficial”. Las matemáticas detrás del cifrado son increíblemente fuertes y computacionalmente complejas.

Vulnerabilidades y exploits conocidos de las VPN

Las revelaciones del conocido informante Edward Snowden y de investigadores de seguridad mostraron que la agencia de espionaje de EE.UU. (la NSA) consiguió descodificar el cifrado de una cantidad enorme de tráfico de internet, incluyendo el de VPN. Los documentos de Snowden informan de que el método de descodificación de VPN de la NSA consiste en interceptar el tráfico cifrado, y mandar parte de los datos a unos superordenadores que averiguan la clave.

Los investigadores de seguridad Alex Halderman y Nadia Heninger también presentaron una investigación convincente que sugería que era cierto que la NSA desarrolló una forma de descifrar una enorme cantidad de tráfico HTTPS, SSH y VPN mediante un ataque Logjam, el cual estaba basado en implementaciones comunes del algoritmo Diffie-Helman.

Su éxito fue debido a la explotación de una debilidad en la implementación del algoritmo Diffie-Hellman. La causa principal de esta debilidad era que el software de cifrado utiliza un número primo estándar en su implementación. Los investigadores estimaron que llevaría alrededor de un año y costaría cientos de millones de dólares construir un superordenador capaz de descifrar un único número primo de 1024 bits de Diffie-Hellman (cantidad que entra fácilmente dentro del presupuesto anual de la NSA).

Desgraciadamente, resultó que sólo se utilizan unos pocos números primos (de menos de 1024 bits) en el cifrado de aplicaciones como una VPN – lo que hace que sea aún más fácil descifrarlos. Según Bruce Schneier, “la matemática es buena, pero no tiene agencia. Lo que tiene agencia es el código, y ha sido manipulado”.

Entonces… ¿Deberías utilizar una VPN?

Para proveedores de servicios, el equipo de investigación recomienda el uso de claves Diffie-Hellman de 2048 o más bits y ha publicado una guía de su utilización en TLS. El IETF (Grupo de Trabajo de Ingeniería de Internet) también recomienda usar las últimas versiones de protocolos que requieren números primos más largos.

Los espías puede que consigan descodificar números primeros comúnmente utilizados en claves Diffie-Hellman de hasta 1024 bits (con una longitud de aproximadamente 309 cifras), pero los números primos en claves de 2048 bits les darán más de un dolor de cabeza, por lo que este tipo de espías no podrá descifrar datos asegurados mediante estas claves aún por mucho tiempo.

En lo que respecta a los usuarios, a pesar de que es cierto que las agencias de espionaje tienen sus métodos de exploit de VPN y otros protocolos de cifrado, estarás mucho más protegido con una VPN que si tu comunicación consiste únicamente en texto legible. Aunque tu ordenador pueda verse comprometido, les llevaría tiempo y les costaría dinero; le saldría caro a cualquiera. Mientras más desapercibido pases, más seguro estarás.

Como dijo Edward Snowden: “El cifrado funciona. Los sistemas de cifrado fuertes debidamente implementados son una de las pocas cosas en las que se puede confiar”. En la medida de lo posible, evita VPN que estén basadas principalmente en algoritmos hashing MD5 o SHA-1 y protocolos PPTP o L2TP/IPSec. Las que te interesan son las que soportan las versiones actuales de OpenVPN (considerado extremadamente seguro) y SHA-2. Si no estás seguro de qué protocolo utiliza tu VPN, echa un vistazo a la documentación sobre VPN o ponte en contacto con nuestra atención al cliente.

Una VPN es una amiga. Confía en el cifrado y en las matemáticas. Maximiza su uso y asegúrate de que tu extremo esté protegido; esa es la manera de mantenerse seguro en la red incluso cuando alguna de estas entidades descodifica una cantidad masiva de conexiones cifradas.

¿Fue útil? ¡Compártelo!
Compartir en Facebook
0
Twitear esto
0
Compártelo si crees que Google no sabe suficiente sobre ti
0