Para analizar cómo el uso de las VPN “gratuitas” afectan la seguridad institucional, se toman en consideración los argumentos aportados por un especialista, con amplia experiencia en la administración de redes.
Como se mencionara en la entrega anterior, en caso de un proceso que requiera de un análisis forense, que pudiera implicar a la institución en problemas a nivel internacional se puede recurrir a los organismos de seguridad que operan a nivel internacional a través de la OSRI y CuCERT, entidades estas dedicadas a la seguridad en las redes cubanas.
En consulta con un especialista, a la pregunta de si era posible romper en enigma criptográfico que implica el uso de una VPN “gratuita” respondió que era “muy poco probable”, salvo que se utilicen los mecanismos de seguridad establecidos a nivel internacional. Sus argumentos parten del hecho de que el VPN genera un mecanismo de flujo que suele ser unidireccional, por lo que un atacante que intente entrar a través de la conexión solo llega hasta la IP que brinda el servidor VPN y no a la IP del usuario.
En su respuesta añadió, que a pesar de la intención de usar una VPN para comerciar con la confidencialidad de la información de los clientes, estos servicios son solo una tecnología que desarrolla el enrutamiento divididos en dos momentos: cuando se realiza el enlace y se asigna una dirección IP y cuando se ejecuta el tráfico a través de la VPN.
Ante estos argumentos surgió la pregunta de si son seguros estos servicios gratuitos. Su respuesta no se hizo esperar.
En términos de vulnerabilidad el cero no existe, siempre existe la posibilidad. Puede ser 0 ó 1 en binario, pero entre ellos hay muchas variables que generan vulnerabilidad, que pueden ir desde un script mal confeccionado hasta una falla de configuración. Y agregó, que como mismo un antivirus no es del todo seguro, las VPN pueden tener vulnerabilidades.
Esto refuerza la concepción sobre la seguridad del server donde se ubica la VPN. Puede existir acceso al tráfico en el y por ende se puede realizar un análisis del mismo para generar tendencias en el manejo de información del usuario. Esto se puede revertir en un bombardeo propagandístico a través de la VPN, tal y como ocurre con Psiphon, solo que en este caso se concentra en el caso de Cuba en información que lesiona los pilares de la Revolución.
Muchos pudieran preguntarse como estos aspectos pueden afectar la seguridad institucional y en nuestra consideración son esenciales.
Se pudiera, por solo mencionar un hecho, los enemigos de Cuba pueden ejercer presiones sobre una organización que administra una de las VPN, utilizadas de forma habitual, para generar un movimiento que desacredite a la institución y con ella al país.
Como se ha dicho desde el servidor donde se aloja la VPN es posible acceder al tráfico de todas y cada una de las direcciones IP que se asignan a los “clientes”. Por ello:
La actuación ciberdelictiva de un usuario a través de una VPN puede desencadenar un problema a nivel internacional porque implica, que mientras se esclarecen los hechos, una dirección institucional está implicada en un acto delictivo o agresivo a otra organización.
Además, cuando el nombre de la institución se ve implicado en un acto de este tipo, se produce un resquebrajamiento de la credibilidad institucional y de la confianza en la seguridad operacional de su sistema informático, lo que puede conducir a su inclusión en “listas negras” u otros mecanismos restrictivos para el funcionamiento de los procesos institucionales.
A partir del hecho de que desde el punto de vista legal es obligación de la UO mantener un control efectivo de la trazabilidad en las acciones de los usuarios, desde la Dirección de Informatización se ha mantenido una política de enfrentamiento al uso de los VPN externos y se ha venido tomando medidas para detectar el uso de este tipo de herramientas desde el Centro de Datos.
El uso de las VPN genera un túnel que evade los controles de seguridad fijados a través del servidor proxy. Esta evasión hace posible que se burlen los mecanismos de alerta temprana del sistema informático y que pueden provocar situación que comprometan un activo informático y en el intercambio con otros usuarios afectar sectores de la red.
El uso de las VPN se convierte en un acto ilegal porque encubre las verdaderas intenciones de uso de la tecnología del usuario, evita el desarrolla del control mediante las trazas y borra la posibilidad de mantener el principio del no repudio en la red institucional. Por estas razones es un acto punible y debe ser suprimido del modo de actuación de los usuarios de la red UONet.