Con este breve artículo intentaré responder a la pregunta que me hicieron hace unos días: "¿Qué tan segura es una VPN?" En esta ocasión también abordaré dos temas preliminares, sin cuyo conocimiento no es posible entender de qué estamos hablando: que significa vpn e venir funziona. Las respuestas deberían ser relativamente sencillas pero no damos nada por sentado y tratamos de entender, como siempre, de qué estamos hablando.
Para que no nos equivoquemos, vemos que uno de los mayores proveedores de servicios de red del mundo, CISCO, nos lo cuenta: "Una red privada virtual, o VPN, es una conexión cifrada a través de Internet desde un dispositivo a una red. La conexión cifrada ayuda a garantizar que los datos confidenciales se transmitan de forma segura. Evita que personas no autorizadas espíen el tráfico y permite que el usuario realice trabajar de forma remota La tecnología VPN es ampliamente utilizada en entornos corporativos ".
Ya hemos descubierto que las siglas VPN se refieren a uno "Red Privada Virtual" como una conexión encriptada entre un dispositivo (PC, tablet, smartphone...) y una red (generalmente una red de empresa), todo ello basado en Internet. La conexión cifrada ayuda a garantizar que los datos se transmitan de forma segura.
La VPN evita la interceptación del tráfico de datos por parte de personas no autorizadas y permite a sus usuarios trabajar de forma remota.
Lo que he destacado son las características principales de una VPN. Antes de continuar hagamos un ejemplo de VPN antes de Internet. Todos recordamos que cuando éramos niños en la escuela, muchas veces teníamos que comunicarle algo al compañero que estaba dos filas más adelante. Después de intentar comunicarse, tal vez llamándolo en voz baja, llamando así la atención del maestro y por lo tanto siendo filmado, se inventaron métodos menos ruidosos.
El primer método que yo mismo utilicé fue escribir el mensaje dentro de un papel, doblarlo en cuatro y escribir el nombre del destinatario del mensaje en el papel doblado, luego tocar el hombro del primer compañero que estaba en la dirección. del destinatario y pídele con un movimiento de cabeza que reenvíe el mensaje.
Me gustaría señalar que en este ejemplo la clase actuó como una red de Internet, cada compañero de clase era de hecho un nodo en la red. El folleto era el soporte de datos importantes (¿después de la escuela nos vamos a bañar al río?). Doblar la hoja en cuatro garantizaba un mínimo de seguridad (¡muy poca lo reconozco!). El nombre del destinatario escrito arriba era la información necesaria para que el mensaje llegara a su destino.
Sistema que trabaja con una suposición, todos los camaradas son amigos entre ellos y nadie tiene curiosidad.
Como imagino que también habrás experimentado en ocasiones similares, pensar que todos son amigos y que nadie es curioso es hermoso desde el punto de vista humano pero absolutamente irreal.
Lo que sucedía a menudo en esta Internet primordial era que uno de los nodos (un curioso compañero) en lugar de transmitir el mensaje al siguiente compañero, lo abría y lo leía, y solo entonces, en el mejor de los casos, lo cerraba y lo reenviaba al verdadero destinatario. .
La solución que adopté, e imagino que muchos de ustedes leyendo esto, fue simple, fue una VPN. Claro, analógico, pero sigue siendo una VPN. La VPN funcionó así.
Dado que el destinatario de mis mensajes era mi pareja con quien jugábamos al fútbol todos los días, acordamos usar mensajes encriptados. Nuestro cifrado era bastante simple, era simplemente una cuestión de sustituir una letra por otra de acuerdo con un patrón en el que habíamos acordado.
Hoy sé que fue el cifra de César pero luego no importaba, lo importante era que funcionaba. Y funcionó... siempre había quien abría el folleto por curiosidad pero generalmente no lograba entender lo que estaba escrito en él. En la práctica, con la adición del cifrado, habíamos creado una VPN real, ¡sin saberlo!
Hoy en día, las VPN se utilizan para conectar de forma segura una PC conectada a través de Internet a una red corporativa. La PC fuera de la red, conectada a Internet, establece una conexión segura con un servidor de servicio VPN usando un protocolo seguro (usualmente se usa TLS).
Ahora, la pregunta que nos gustaría responder es la siguiente: ¿Qué tan segura es una VPN?
Después de entender qué es y cómo funciona, comprendamos un poco más sobre la seguridad de una VPN.
Es fácil comprender que hay muchos factores en juego al evaluar el nivel de seguridad de la VPN. Tratemos de entender las debilidades juntos.
el cifrado
Uno de los factores importantes es el tipo de cifrado que utiliza. Como mencioné antes, usé el cifra de César, un algoritmo criptográfico de los más sencillos, que consiste en sustituir una letra por otra del mismo alfabeto, como se puede ver en la figura.
Las cosas funcionaban bastante bien pero no era difícil entender cómo descifrar el mensaje y siempre existía la posibilidad de que algún compañero particularmente travieso tomara el papel y se lo quedara.
Del mismo modo, una de las características de las VPN es el algoritmo de cifrado que se utiliza para cifrar los datos y establecer la mejor ruta para llegar al destinatario. Dado que los algoritmos utilizados por las VPN son diferentes, está claro que la seguridad de las VPN también es diferente.
En general, podemos decir que una VPN requiere el uso de un algoritmo de cifrado (para cifrar y descifrar datos) y un protocolo seguro para establecer y mantener el canal de comunicación (protocolo de encripción de protocolo de enlace).
Uno de los algoritmos de encriptación más utilizados en la historia de las VPN para establecer el canal encriptado se llama RSA-1024 (Rivest-Shamir-Adleman). Todavía hay VPN que lo usan a pesar de que desde 2014 el algoritmo ha sido descifrado por la NSA estadounidense (o eso dicen). Hoy en día, muchos algoritmos utilizan RSA-2048, donde el número indica la longitud en bits de la clave de cifrado. Teóricamente, el cifrado proporcionado por RSA-2048 es resistente a los ataques de "Fuerza Bruta" ya que tardaría demasiado en ejecutarse, pero también recuerdo que este tipo de ataque no es el único posible, el nacimiento y la propagación cada vez más constante de la computadoras cuánticas está cuestionando la validez real de los algoritmos de encriptación basados en el intercambio de claves.
En los últimos años ha habido una verdadera carrera por estudiar los llamados algoritmos "post cuánticos", es decir, que pueden resistir ataques de fuerza bruta llevados a cabo por computadoras cuánticas. Si tomamos OpenSSH por ejemplo, se decidió introducir la versión 9 basada en un algoritmo post cuántica.
Un poco más arriba dije que probablemente RSA-1024 ha sido crackeado, retomo el concepto solo por un momento porque introduce una aclaración necesaria: cuando hablamos de qué tan segura es una VPN no hay una respuesta única ya que depende de quién hace la pregunta. Como premisa de cualquier respuesta semiseria a la pregunta, debemos recordar la necesidad de una Evaluación de Riesgos es decir, la valoración del riesgo asociado a la empresa de la que estamos hablando.
No quiero entrar en tecnicismos pero daré un ejemplo justo para entender de qué se trata. Si nuestra empresa se dedica a la producción de piezas de máquinas industriales para una determinada zona del mundo, supongamos que para Italia, y necesita usar una VPN para sus comunicaciones, sería algo bueno. evite usar la VPN de una empresa de cualquier manera relacionada con sus competidores directos en el mercado. Desafortunadamente, no siempre es fácil entender en quién puedes confiar y en quién no. mi regla es que no confío en nadie, pero esa es otra historia.
Volviendo a las VPN, uno de los protocolos estándar más utilizados en la actualidad es OpenVPN. es un protocolo de código abierto que por lo tanto puede ser estudiado y analizado públicamente por cualquiera que tenga las habilidades, el interés y el deseo de hacerlo.
Como siempre, hay que tener en cuenta factores adicionales relacionados con el mundo digital. Todos los sistemas, software, hardware o cualquier combinación de ambos que pueda concebirse, están sujetos a:
- vulnerabilidades debidas a una mala producción;
- errores del hombre, usuario o técnico, en la configuración y el uso (este es el caso más común ya que el uso de una VPN no elimina el riesgo de robo de credenciales, al contrario, probablemente lo aumenta creando uno de usuario falsa expectativa de seguridad).
Si quieres hacerte una idea de las vulnerabilidades de OpenVPN, solo a modo de ejemplo, puedes consultar esta lista: Openvpn - Vulnerabilidades de seguridad (cvedetails.com).
Para concluir, después de intentar explicar de la forma más sencilla posible qué es una VPN y haber mencionado algunas cuestiones básicas, intentaré dar respuesta a la pregunta de la que partíamos: ¿Qué tan seguras son las VPN?
La respuesta más simple es: mejor que el texto plano.
La respuesta más seria es: depende del contexto.
La respuesta más completa es: para poder decir algo significativo, necesitamos hacer una evaluación de riesgos y luego podemos elegir una VPN adecuada para el contexto estratégico, tecnológico y organizacional en el que nos encontramos.
La VPN aumenta la seguridad, pero también aumenta el perímetro de seguridad y por lo tanto aumenta los riesgos. Nunca debemos olvidar que la seguridad depende del eslabón más débil de la cadena y, por lo general, ¡este es el hombre!
Como siempre, agradezco a los amigos de SICYNT por su ayuda y sugerencias. En mi presentación, he optado por simplificar, por lo que dejé deliberadamente de hablar sobre autenticación e integridad, conceptos importantes pero que habrían hecho que el artículo fuera menos claro. Tendremos otras oportunidades para hacerlo.
Para saber más:
