Tabla de contenido:
- ¿Qué está haciendo realmente tu VPN?
Cómo protegerse contra la pérdida de datos- Qué tipo de solución VPN usar
Video: VPN - Lo bueno, lo malo y lo feo (Noviembre 2024)
Como puede ver en nuestro resumen de revisión reciente de los servicios de red privada virtual (VPN), estos productos existen por muchas razones, no todas las cuales son relevantes para el uso comercial. Por ejemplo, es poco probable que su personal de TI tenga una razón comercial para ver películas que están bloqueadas activamente en una región geográfica específica como, por ejemplo, China.
Una VPN configurada correctamente debería administrar todos estos trucos. Su conexión entre dos puntos separados en Internet está encriptada mediante el uso de algoritmos potentes que deberían evitar que cualquier persona, ya sea de su empresa competidora al otro lado de la calle o si están trabajando para Kim Jong-Un, intercepte sus comunicaciones. ¿O lo harán?
¿Qué está haciendo realmente tu VPN?
Esa es la pregunta que hace el Departamento de Seguridad Nacional de los Estados Unidos (DHS) a instancias de los senadores Ron Wyden (D-OR) y Marco Rubio (R-FL). En una carta dirigida a Christopher C. Krebs, Director de la recién creada "Agencia de Seguridad de Ciberseguridad e Infraestructura", los dos senadores señalaron que muchos servicios de VPN son propiedad de corporaciones fuera de los EE. UU., Y que pueden tener la capacidad de extraer información (el mismos datos que los usuarios pensaron que estaban protegidos) y luego compartirlos con otros.
Entonces, primero, ¿es posible que un proveedor de VPN sin escrúpulos comparta comunicaciones en forma descifrada con otros? Y segundo, ¿es probable que tal intercambio esté realmente sucediendo?
La respuesta a la primera pregunta es un inequívoco "sí". Desde una perspectiva puramente técnica, es completamente posible que un proveedor comparta cualquier información privada que envíe a través de sus canales VPN. La respuesta a la segunda pregunta es, por supuesto, "tal vez", porque depende del proveedor, quién administra esa organización, potencialmente dónde se encuentran y, finalmente, cuál es su ética. Esas son las preguntas que se le pide al DHS que determine.
La razón por la que es posible es por la forma en que trabajan la mayoría de los proveedores de VPN. Cuando configura la sesión VPN, crea un túnel cifrado entre su computadora o red y un servidor en la ubicación del proveedor de VPN. Desde ese punto, su conexión se envía a su destino final. Mientras sus datos pasan a través de los servidores del proveedor de VPN, pueden estar en un estado no encriptado y pueden encriptarse nuevamente cuando se envían al otro extremo de su conexión.
Si bien algunos proveedores de VPN mantienen sus datos encriptados durante todo el proceso, algunos pueden no hacerlo. Y cualquiera de ellos puede descifrar sus datos si así lo desean. El riesgo radica durante el tiempo que sus datos pasan en los servidores del proveedor de VPN. Un proveedor sin escrúpulos podría enviar una versión sin cifrar de sus datos a otra persona mientras esté en su posesión. Frente a ese escenario, ¿cómo protege sus datos comerciales?
(Crédito de la imagen: Statista)
Cómo protegerse contra la pérdida de datos
Primero, conozca a su proveedor de VPN. Si es una empresa con sede en EE. UU., Debe darse cuenta de que un proveedor de VPN con sede en EE. UU. Estará sujeto a las leyes de EE. UU. Sobre protección de datos; un proveedor ubicado en otro lugar no puede. Del mismo modo, si se encuentra en Europa u otro país, entonces querrá saber que sus datos también se manejan de acuerdo con sus leyes locales.
Francis Dinha, fundador y CEO de OpenVPN, dijo que debería considerarlo como una señal de alerta si un proveedor de VPN se encuentra en el extranjero. "Cuando tienes una empresa que opera fuera del país, te expones a riesgos de seguridad", dijo. "¿Quién sabe si los datos de su dispositivo se comparten con alguien más?"
Dinha señala que hay otras banderas rojas, en particular, si se ofrece una VPN de forma gratuita. Con un servicio VPN gratuito, usted es el producto, explica. Esto puede significar que su uso de VPN puede exponerlo a la publicidad, o puede encontrar sus actividades compartidas con otros para fines de marketing, o puede descubrir que sus datos se comparten con entidades que no tienen sus mejores intereses en mente.
"No deberías estar usando una VPN que permita torrenting o conexiones punto a punto", dijo Dinha. "Podría ser un tercero que pueda instalar contenido malicioso".
Esas conexiones de punto a punto de terceros también pueden extraer datos de su red. Pueden permitir que sus clientes instalen puertas traseras para su uso posterior, y pueden darles acceso a los activos de la red durante todo el tiempo que la VPN esté activa. Si bien muchos consumidores y usuarios avanzados de la tecnología VPN pueden burlarse de ese consejo, a menudo usan una VPN en particular específicamente porque permite el uso de torrents y de punto a punto, estos usuarios también son conscientes de estos riesgos potenciales de seguridad. Están dispuestos a tomarlos y es probable que hayan instalado un montón de software de protección de punto final para compensar. La mayoría de las empresas, por otro lado, probablemente estén involucradas simplemente en la transmisión de datos y conexiones remotas seguras, lo que significa que los riesgos de punto final adicionales simplemente no valen la pena para ellos.
Dinha dijo que cualquier VPN, incluidas las que se encuentran en los EE. UU., Puede ser mal utilizada, por lo que es fundamental que revise a su proveedor de VPN para asegurarse de que esté brindando el servicio que cree que está recibiendo. Dijo que una buena manera de asegurarse de que está tratando con un proveedor de VPN de buena reputación es confirmar que la compañía tiene buena reputación de otras maneras. Por ejemplo, busque empresas que tengan una base en seguridad, como compañías de firewall o compañías de software de seguridad.
Un punto clave, dijo Dinha, es que nunca debes usar una VPN donde no puedas controlar el servidor. También sugiere que debe asegurarse de tener control total sobre la administración de claves. Nuevamente, desde una perspectiva comercial, esta es una buena idea. Sin embargo, la mayoría de los consumidores no configurarán sus propios servidores VPN. De hecho, toda la idea detrás de las VPN de consumo es que no tienen que hacerlo. Los usuarios avanzados y los consumidores necesitan sopesar su tiempo y recursos con los beneficios obtenidos por el control de extremo a extremo de sus VPN. Las empresas pueden permitirse ser más exigentes, especialmente aquellas con personal de TI permanente, y probablemente deberían serlo.
Qué tipo de solución VPN usar
A estas alturas, probablemente esté pensando que usar un servicio VPN de consumidor en el que hace un túnel en un servidor en otro país, que luego lo conecta a un sitio ubicado en otro lugar, no es una buena práctica comercial. Dinha está de acuerdo, enfatizando que esos servicios realmente no se desarrollaron como soluciones comerciales.
- Los mejores servicios de VPN para 2019 Los mejores servicios de VPN para 2019
- Las mejores VPN de Linux para 2019 Las mejores VPN de Linux para 2019
- Los senadores estadounidenses exigen una sonda de VPN extranjeras sobre el riesgo de espionaje Los senadores estadounidenses exigen una sonda de VPN extranjeras sobre el riesgo de espionaje
Lo que la mayoría de las empresas deberían hacer es usar una solución VPN que conecte a los usuarios con el servidor de la compañía sin un paso intermedio a través del servidor de otra persona. Hay muchas soluciones disponibles, algunas de compañías de las que nunca ha oído hablar y otras de compañías tan conocidas como Cisco. Cualquiera de estos, pero no todos, son compatibles con el software de código abierto de OpenVPN, que también es ampliamente utilizado y comercializado por otros proveedores porque se ha convertido en una especie de estándar de facto en el espacio VPN.
Ciertamente, esto es más difícil de configurar e implementar que simplemente registrarse en un servicio de nube VPN, pero la diferencia es que se está conectando directamente a un servidor VPN que controla, generalmente ubicado en el borde de su propia red. De esta manera, sus datos están protegidos y nunca entran en manos de un tercero.
