Exponemos a un terrible proveedor de VPN
Hoy en día, el mercado de las VPNs está inundado de opciones. Y no, eso no es malo, todo lo contrario. La variedad es algo que debemos apreciar en este campo de la seguridad digital.
Ni usted ni yo tenemos las mismas necesidades de encriptación, de velocidad y ni siquiera de cobertura a los dispositivos ni sistemas operativos. Y aún si nuestras necesidades fueran las mismas, nuestras ubicaciones podrían variar y afectar nuestras opciones más viables. Por ejemplo, usted podría tener un lugar favorito para vacacionar y solo una VPN podría serle de ayuda. Yo podría necesitar viajes de negocios o visitar a mi familia en otra región completamente diferente del planeta.
Debemos dejar algo muy claro aquí y agregar un descargo de responsabilidad: Nuestra intención es informar y luchar por el acceso a un Internet más seguro, más privado y más confiable en todo el mundo. Es por esto que dedicamos tanto trabajo investigando y poniendo a prueba a los proveedores de VPNs. Queremos que nuestros lectores tomen decisiones informadas y sean conscientes de las ventajas y desventajas de cada proveedor.
Con la información que presentamos a continuación, no buscamos desprestigiar el trabajo ni el negocio de una compañía en particular, y por tal razón, hemos decidido omitir el nombre del proveedor.
Pero volviendo a nuestra pregunta principal. Esto es lo que podemos decir.
Nuestros Experimentos
Para encontrar una respuesta contundente a nuestra pregunta, decidimos realizar unos cuantos experimentos. Buscamos en Google un proveedor VPN poco conocido al azar y lo probamos.
Como usted quizás ya sabrá, nuestro sitio ha realizado este tipo de pruebas por años.
¿Qué fue lo primero que descubrimos? — Para nuestra sorpresa, nuestro primer descubrimiento fue que nuestro VPN seleccionado completamente al azar afirmaba otorgarnos una alta seguridad en línea, pero en realidad no tenía idea alguna sobre seguridad.
Errores Básicos
El proveedor que investigamos incluso estaba usando direcciones con http en lugar de https para las solicitudes de API. Estamos en el 2021, y el cifrado SSL existe desde hace una eternidad. No hay sitio web de renombre que no lo use. Todas las tiendas en línea lo utilizan (y si no lo hacen, usted no debería comprar en esa tienda).
Entonces, ¿Cómo es posible que un proveedor VPN que afirma tenerlo cubierto con seguridad en línea carezca de esta característica? Es uno de esos misterios que no tienen una respuesta. Al menos no una respuesta lógica.
¿Qué tan malo es esto?
La falta de una función de cifrado SSL básica lo deja completamente al descubierto. A usted – el usuario y a toda su información.
Básicamente, esto permite que cualquier persona entre su conexión doméstica y la del servidor vea qué información envió a la API. Solo por mencionar algunos ejemplos, cualquier persona inescrupulosa de su proveedor de servicios de Internet podría saber lo que usted hace en línea. Incluso cualquier cibercriminal con medianas habilidades podría hacerlo. Y esto no es bueno.
Aun estando conectado a una VPN de este tipo, toda su información viajaría un largo trecho sin ser protegida, dejando sus credenciales propensas a ser robadas.
Usar el tipo de solicitudes equivocadas
No queremos ser alarmistas, pero el proveedor VPN que evaluamos tampoco nos ayuda a serlo.
Descubrimos que el proveedor en cuestión usa, para iniciar sesión, solicitudes GET, en lugar de solicitudes POST.
Si no comprende con exactitud lo que estamos diciendo, déjenos comenzar diciendo que hacer esto probablemente sea el mayor pecado un proveedor de VPN pueda cometer.
A continuación, vamos a tomarnos el tiempo para ahondar en detalles y estamos seguros que se preocupará un poco con lo que está a punto de leer.
¿Qué tan malo es esto?
Si no lo sabe, existen dos tipos diferentes de solicitudes para transferir datos del usuario al servidor al iniciar sesión. Ambos tipos son usados en diferentes circunstancias, en diferentes tipos de redes y por diferentes tipos de usuarios. Sin embargo, en el mundo de las VPNs solo uno es seguro. UNO, nada más. Usar el otro sería como rentar una casa en el barrio más peligroso de su ciudad, y dormir con la puerta y ventanas abiertas.
En pocas palabras, el uso de solicitudes GET para enviar datos confidenciales es increíblemente peligroso.
En muchos casos los archivos de registro del servidor web se registran en este tipo de solicitudes junto con todos los nombres de usuarios y contraseñas de los usuarios.
¿Qué quiere decir esto? Los usuarios del proveedor VPN en cuestión han estado enviando cada vez que inician sesión sus contraseñas y los nombres de usuarios al servidor.
Y no sólo eso, también han enviado información que puede ser usada para identificar el tipo de dispositivo que usan y todas sus características. Esta información puede ser fácilmente usada para identificar a una persona.
Y recuerde, hablamos de una VPN que nos promete anonimato. Ahora, combine eso con su conexión HTTP insegura.
Créanos, lastimosamente los ciudadanos chinos tienen más privacidad y seguridad digital que las personas que han confiado en ese proveedor VPN.
¿Qué fue lo que hicimos? Contactamos a Atención al Cliente
Como precursores y defensores de la seguridad y privacidad digital, decidimos enviar un mensaje a Atención al Cliente del proveedor en cuestión.
Debemos dejar claro que nuestro mensaje tenía una intención positiva. Reportamos nuestros descubrimientos y pedimos una explicación de los problemas. Solicitamos reportes y preguntamos si ya se estaba trabajando en los problemas que habíamos encontrado.
La respuesta fue una sorpresa más. Sus agentes de atención al cliente se tomaron nuestro mensaje por las malas. Nos insultaron y nos acusaron de “entrometidos” e “incultos”. Sí, ¿puede creerlo?
¿Qué tan malo es esto?
El compromiso y el profesionalismo de una compañía, y sus trabajadores, importan mucho. Y más aún si es una compañía que se encarga de algo tan delicado como sus datos personales.
Si una compañía hace declaraciones atractivas solo para vender su producto, pero es incapaz de sostenerlas, eso es una estafa. Y si alguien cuestiona la calidad de su producto y la compañía responde con insultos aun sabiendo que lo que ofrece varía de lo que promete, eso también es un delito.
El mundo de las VPNs es basto, competitivo y dinámico. Muchas de las VPNs que recomendamos aquí se mantienen en constante evolución. Cambian constantemente y se adaptan a lo que ocurre en el mundo. En este mercado, no hay espacio para las promesas falsas y las respuestas sin fundamentos.
Estamos lidiando con la seguridad y privacidad de las personas.
¿Qué ocurrió luego?
Aun con el trato inapropiado que recibimos, nuestro equipo decidió continuar monitoreando el proveedor de servicios VPN en cuestión.
Para nuestro asombro, luego de unos días de nuestro enfrentamiento nada amistoso con los representantes de servicio al cliente, notamos algunas soluciones parciales a los problemas mencionados. En primer lugar, agregaron el certificado SSL a su conexión. Fue un paso pequeño, pero nos alegró saberlo.
Cualquier avance en seguridad es bienvenido.
¿Qué más podemos decir?
Todo este experimento nos dejó un mal sabor de boca. Sabemos que muchas personas se dejan llevar por las promesas atractivas e incluso por los precios altos. Y esto es algo normal. Nuestra naturaleza nos hace pensar que si estoy pagando un precio alto, estoy recibiendo el mejor servicio.
Desafortunadamente, no siempre es así. La próxima vez que se interese en contratar una nueva VPN o lea una descripción de servicios atractiva, lo mejor será consultar primero. Recuerde, no solo podría estar desperdiciando su dinero, podría estar arriesgando su seguridad y privacidad.
Dejar una respuesta