Recientemente recibí otra carta de un lector que puede servir como una excelente base para un artículo. Nuestro lector pregunta:
¿No es suficiente el cifrado proporcionado por mi navegador en los datos que intercambio con un sitio https: para proteger los datos? Mi entendimiento ha sido que lo es. Si es así, no se necesita una VPN para este fin. Además, si es así, es perfectamente seguro para mí intercambiar datos privados (por ejemplo, información de cuenta con mi banco o corredor de bolsa) a través de cualquier red pública y abierta.
Por supuesto, las VPN proporcionan otras funciones valiosas, pero según tengo entendido, NO proporcionan ninguna seguridad adicional a los datos reales intercambiados. Los proveedores de VPN probablemente no quieran resaltar esto.
Hay mucho que analizar en la carta de nuestro lector. Profundicemos en cada pregunta/afirmación una por una.
Perfectamente seguro
Aparte de las cuestiones técnicas, nuestro lector hace una afirmación que creo merece una corrección inmediata y algo contundente. Nuestro lector afirma:
Es perfectamente seguro para mí intercambiar datos privados (por ejemplo, información de cuenta con mi banco o corredor de bolsa) a través de cualquier red pública y abierta. [using https].
Dejemos esto de lado: nunca, jamás, de ninguna manera, alguna vez Es “perfectamente seguro” intercambiar datos a través de Internet, ya sea a través de una red pública abierta (escalofríos) o incluso desde casa u oficina.
si leyendo Regularmente te dice algo, es que hay brechas de seguridad y fallas de seguridad en nuestras redes que ocurren con una regularidad constante, interminable y casi abrumadora.
No voy a entrar en todas las infracciones ni en todas las formas en que se puede interceptar el tráfico de mensajes mientras está en movimiento. Basta decir que nuestros datos nunca están “perfectamente seguros” y, por lo tanto, siempre debemos tomar medidas para protegernos a nosotros mismos, a nuestros datos y, por extensión, a nuestra seguridad física y financiera.
Sólo porque no seas paranoico no significa que no quieran atraparte.
Debido a esta realidad, a menudo practicamos un enfoque de cinturón y tirantes en todas nuestras prácticas de seguridad. Eso significa que, aunque tengamos un nivel de seguridad, nunca es suficiente. Ese método de seguridad puede estar roto o tener errores, o puede haber alguna otra razón por la que tenga fugas. Siempre es mejor tener múltiples enfoques para mantenerse a salvo.
Debe leer:
¿Es https suficiente?
Comencemos con lo que hace https. Asegura (mediante cifrado) una conexión http entre un sitio web y su navegador. Eso significa que es poco probable que el contenido de lo que estás transmitiendo sea leído o modificado entre tu navegador y el sitio web.
Pero usted no tiene el control de esta conexión. Depende del operador del sitio web (y de cualquier servicio asociado al que recurra) asegurarse de configurar y operar correctamente la conexión segura.
No todos los sitios web utilizan https, por lo que todo lo que haga en una conexión no cifrada será visible. Lo que en realidad es mucho más preocupante con el tráfico no cifrado es que un atacante (normalmente llamado ataque Man in the Middle) puede modificar lo que se envía, inyectando bits de seguimiento (o peor aún, malware) en el flujo.
Los más visibles son los ataques estilo Great Cannon que inyectan cargas útiles de JavaScript y HTML en el tráfico web desprotegido. Luego, estas cargas útiles realizan ataques de denegación de servicio (de ahí: cañón) contra objetivos de interés para los piratas informáticos.
Nadie quiere que su navegador web se convierta, sin saberlo, en un arma de denegación de servicio.
Otra cosa a considerar sobre el cifrado https es que sólo cifra su tráfico web. Cualquier otra actividad en Internet no se ve afectada por el protocolo https y, por lo tanto, requiere su propio cifrado. Ejemplos de otras actividades incluyen videojuegos basados en la web que pueden enviar su cuenta, contraseña e incluso información de su tarjeta de crédito de forma clara; un programa de correo electrónico; o incluso un programa de contabilidad ejecutado localmente.
Entonces, sí, https ayuda. Pero es sólo un accesorio de seguridad en un conjunto de cinturones y tirantes.
Cifrado de enrutador inalámbrico
Hay otro elemento de cifrado que a veces entra en la cadena. Ese es el cifrado de Wi-Fi que obtienes cuando usas un enrutador Wi-Fi con contraseña.
Por supuesto, aquí hay otro punto de riesgo: no tienes forma de saber si el enrutador Wi-Fi ha sido falsificado y en realidad estás enviando todos tus datos a través de una piña o algún otro dispositivo de suplantación de datos.
Cifrado VPN
Esta afirmación de nuestro lector es un poco difícil de desentrañar: “Las VPN proporcionan otras funciones valiosas, pero según tengo entendido, NO proporcionan ninguna seguridad adicional a los datos reales intercambiados”.
Creo que lo que dice nuestro lector es que las VPN brindan otros servicios, pero no brindan ningún otro servicio de seguridad de datos. Pero las VPN sí. También cifran datos.
Las VPN absolutamente brindan servicios de seguridad de datos. Los paquetes se cifran desde el navegador local al proveedor de servicios VPN. Todos los paquetes.
Ahora bien, es importante comprender dónde ayuda este cifrado y dónde no. Si estás en tu navegador web en una cafetería y estás hablando con la interfaz web de tu banco, tu tráfico está cifrado en tu navegador, va desde tu dispositivo a un enrutador local, al ISP local, a través de un montón de salta y luego a su banco, donde se descifra.
Https cifrará toda esa canalización, pero sólo si todo está configurado correctamente.
Ahora, si estás usando una VPN (con https o no), tus datos están encriptados en tu computadora. Si está utilizando https, la VPN vuelve a cifrar los datos cifrados con https. Luego, esos datos viajan a través de los saltos habituales a un servidor VPN, se descifran una vez (se elimina la capa de VPN) y se envían a su banco.
El beneficio del cifrado VPN va desde su dispositivo hasta el proveedor de VPN en Internet. Esto protege a casi todos los merodeadores de cafeterías, aeropuertos y hoteles que podrían intentar capturar sus datos en movimiento.
Pensando en la seguridad
Cuando se trata de pensar en la seguridad móvil, es importante tener en cuenta los puntos finales y lo que se cifra. Veamos los últimos tres que discutimos:
https: Cifra el tráfico web entre el navegador web y el servidor web.Wifi: Cifra todo el tráfico de red entre el dispositivo móvil y el enrutador Wi-Fi en su cafetería, hotel, aeropuerto, etc.VPN: Cifra todo el tráfico de red entre su dispositivo móvil y el proveedor de servicios VPN en Internet.
¿Puedes ver cómo estos diferentes elementos cifran y descifran en diferentes puntos? Además, tenga en cuenta que uno (o más) de estos servicios de seguridad puede verse comprometido. Además, por supuesto, existen otros niveles de cifrado, como Túneles SSL y TLS cifrados entre sitios web y proveedores de pagos.
Al utilizar múltiples capas de cifrado, cada una de las cuales no puede verse entre sí, está reduciendo la posibilidad de que cualquier red comprometida lo comprometa.
Otros servicios VPN
Como hemos comentado en nuestras diversas reseñas y guías de VPN, los diferentes servicios comerciales de VPN proporcionan un valor agregado diferente. Algunos se mezclan con antivirus. Algunos combinan algunos servicios de protección de identidad.
Pero todas las VPN ofrecen otro servicio de seguridad muy importante: la ofuscación de direcciones IP.
Si utiliza una VPN, obtiene una dirección IP del proveedor de VPN. Esta es la dirección IP registrada por varios servicios en la web. Esto le permite proteger su identidad en términos de dónde se encuentra, qué ISP está utilizando o incluso en qué país se encuentra.
Para algunos de nosotros, este es un servicio menos crítico. Para otros, especialmente aquellos que enfrentan acoso u otras preocupaciones de protección personal, los servicios de protección de ubicación VPN son esenciales.
Línea de fondo
Entonces, para responder a la pregunta de mi lector, ¿necesita una VPN? Depende de ellos. Pero, ¿es https el principio y el fin de la seguridad en Internet? Oh diablos, no.
¿Qué herramientas utilizas para proteger tu seguridad? Déjame saber abajo en los comentarios.
Puedes seguir las actualizaciones diarias de mi proyecto en las redes sociales. Asegúrate de seguirme en Twitter en @DavidGewirtzen Facebook en Facebook.com/DavidGewirtz, en Instagram en Instagram.com/DavidGewirtz y en YouTube en YouTube.com/DavidGewirtzTV.