El uso de VPN: Un Escudo de Doble Filo para la Ciberseguridad
VPN. Arma de doble filo. Creada con IA
En el ecosistema digital universitario, donde estudiantes, profesores e investigadores son pilares fundamentales, la movilidad y el acceso remoto a recursos son una necesidad. Aquí es donde las Redes Privadas Virtuales, o VPN, se presentan como una herramienta crucial. Pero, ¿se conoce realmente qué son, cómo protegen y, lo que es más importante, qué riesgos pueden ocultar?
Este trabajo está pensado para que la comunidad universitaria, transforme su manera de actuar ante el uso de la VPN, que deje de ser un acto mecánico y pase a ser una decisión consciente e informada.
¿Qué es una VPN y por qué es un aliado?
La internet pública debe entenderse como una autopista llena de transeúntes. Cada conexión a una red Wi-Fi, toda la información (contraseñas, trabajos de investigación, datos personales) viaja por este canal y es visible para ojos curiosos.
Una VPN (Red Privada Virtual) actúa como un túnel privado y blindado entre el dispositivo (ordenador, móvil) e internet. Cuando se activa una VPN, todo el tráfico se cifra y se redirige a través de un servidor seguro gestionado por el servicio VPN. Para el mundo exterior, la actividad parece originarse desde la ubicación de ese servidor y no desde la conexión real.
No se pueden negar las ventajas que presenta el uso de las VPN dada su funcionalidad.
Las VPN facilitan el acceso seguro a recursos restringidos. Muchas bibliotecas digitales, laboratorios virtuales y plataformas de universidades solo son accesibles desde su red interna. Con una VPN proporcionada por la entidad, se puede conectar de forma segura desde cualquier ubicación como si se estuviera en el sitio.
También garantizan el cifrado de datos. Así se protege la información confidencial de posibles espías en redes Wi-Fi públicas.
La VPN oculta la actividad de navegación añadiendo una capa extra de privacidad lo que contribuye a la confidencialidad.
Para la organización universitaria, una VPN corporativa es una herramienta fundamental de ciberseguridad, ya que permite extender el perímetro de seguridad de la red universitaria a los dispositivos remotos, protegiendo los activos digitales de la institución.
Sin embargo existe un grave peligro cuando se utilizan las VPN gratuitas.
Ante la necesidad, la tentación de usar una VPN gratuita es comprensible. Sin embargo, cobra fuerza el hecho de que «si es gratis, tú eres el negocio».
Desventajas y riesgos de las VPN gratuitas:
1. Es un modelo de negocio basado en los datos de quienes utilizan el servicio, porque muchos de los servicios que se dicen “gratuitos” obtienen ingresos recolectando y vendiendo los datos de navegación, hábitos y metadatos a terceros (anunciantes, empresas de análisis de datos). Esto anula por completo el propósito de la privacidad.
2. El cifrado es débil o nulo, pues se utilizan protocolos obsoletos o mal configurados, que brindan una falsa percepción de seguridad mientras la información sigue vulnerable.
3· Se limita el ancho de banda y velocidad, pues se imponen límites estrictos de datos y reducen drásticamente la velocidad, aunque en nuestro país esta no sea un problema por las limitaciones de la red nacional.
4· Son fuentes de difusión de software malicioso pues inyectan programas malignos y en especial publicidad agresiva (adware) en los dispositivos de los usuarios.
5. Los defectos de configuración suelen provocar fugas de DNS e IP que puede incidir en la filtración de la dirección IP real y la exposición de la ubicación y la actividad.
El abuso de las VPN es un riesgo encubierto y es importante recordar que la legislación cubana exige que se guarden con fines de auditoria las trazas de navegación de los usuarios.
Desafortunadamente, el anonimato que proporciona una VPN que no permita acceder a los logs, puede ser un arma de doble filo. Algunos usuarios, pueden utilizarlas para eludir los filtros de seguridad de la red y acceder a sitios web de dudosa reputación, creyendo que su navegación es completamente anónima.
Esto pone en peligro a la institución, no solo por el acceso de contenido inapropiado, sino por las gravísimas consecuencias de seguridad que trae consigo.
Un primer ejemplo puede ser el Streaming Ilegal. Se usa una VPN personal para acceder a un sitio web de streaming de películas pirata, eludiendo el bloqueo de la red. Este sitio está repleto de anuncios maliciosos (malvertising). Sin saberlo, hace clic en uno de ellos y descarga un keylogger (software que registra las pulsaciones del teclado). Más tarde, al conectarse a la VPN universitaria para entregar un trabajo, el keylogger captura sus credenciales de acceso al sistema académico. El atacante ahora tiene acceso a los datos y, si reutiliza contraseñas, a otros sistemas.
Otro ejemplo es el acceso a un foro comprometido. Una persona, utiliza una VPN gratuita para navegar por foros especializados de nicho, algunos con baja moderación y seguridad. Si uno de estos foros ha sido comprometido y sirve como vector de infección, al visitarlo, el dispositivo se infecta con un ransomware. Cuando se conecta a la red de la institución, el ransomware se propaga, cifrando todos los archivos que encuentre a su paso, lo que paraliza procesos críticos y provocando una fuga de datos importantes.
En ambos casos, la VPN no fue la causa directa del problema, pero fue el instrumento que permitió eludir los controles de seguridad diseñados para prevenir este tipo de incidentes. La organización, al ver el tráfico entrante desde la VPN (especialmente si es la corporativa), confía en que es tráfico legítimo. El dispositivo comprometido se convierte así en un «caballo de Troya» dentro de la red.
Las VPN son herramientas poderosas que se han tornado indispensables en el mundo académico moderno. Su uso correcto, a través del servicio institucional, fomenta la productividad y la seguridad. Sin embargo, un uso negligente o malintencionado, especialmente con servicios gratuitos y no autorizados, puede abrir la puerta a ciberamenazas que comprometen no solo tu información, sino la integridad de toda la comunidad universitaria.
La ciberseguridad es una responsabilidad compartida, por ello se debe conocer las herramientas y utilizarla con ética y priorizando siempre la protección de los datos de la institución en la que se labora
.