Todos los días, miles de personas recurren a las VPN para garantizar su privacidad y seguridad mientras viven y trabajan en Internet. Una serie de estudios recientes en la Universidad de Michigan ha cuestionado cuán precisas pueden ser estas expectativas.
Las redes privadas virtuales, o VPN, permiten a los usuarios crear «túneles» a través de su red con el fin de ocultar actividades e identidades y realizar conexiones seguras a otras ubicaciones de Internet. Parecerían una herramienta ideal para evadir la vigilancia o acceder de forma segura a contenido bloqueado, pero una nueva investigación muestra que la dependencia de las VPN podría exponer a los usuarios a más vigilancia de la que creen.
En los últimos dos años, los investigadores de la UM han realizado una serie de proyectos de investigación en un esfuerzo al que han llamado Analizador de VPN para exponer problemas que incluyen deficiencias críticas en las VPN comerciales populares actualmente disponibles, la capacidad de los proveedores de servicios de red y los gobiernos para identificar y bloquear el uso de VPN, y problemas en la educación del usuario y brechas en la comprensión entre los usuarios de VPN y los proveedores de VPN.
Dirigido por el profesor asistente de informática e ingeniería Roya Ensafi y la estudiante de doctorado Reethika Ramesh, la experiencia del equipo de investigación abarca medidas de red, seguridad, privacidad y también métodos de estudio cualitativos y cuantitativos.
Primero, los esfuerzos de los investigadores se centraron en un proyecto que crea la herramienta VPNalyzer para brindar rigor, escala y automatización a la investigación del ecosistema VPN. Probaron 80 proveedores populares de VPN usando VPNalyzer y descubrieron vulnerabilidades no reportadas anteriormente, incluidas fugas de DNS e IPv6, fugas de datos durante fallas en el túnel y más, lo que los llevó a presentar 29 divulgaciones responsables a los proveedores de VPN.
VPNalyzer comenzó con una revisión de seguridad de las VPN en colaboración con Consumer Reports en 2021. El equipo de Consumer Reports utilizó VPNalyzer como parte de sus esfuerzos para producir una recomendación confiable y basada en datos para sus millones de usuarios. Su trabajo fue citado en los siguientes artículos escritos por Consumer Reports: ¿Debería usar una VPN? y las pruebas de VPN revelan malas prácticas de privacidad y seguridad, afirmaciones hiperbólicas. Los datos de este trabajo con Consumer Reports también han sido citados por miembros del Congreso para pedirle a la FTC que mejore las protecciones para los usuarios de VPN. Además, el primer artículo de los investigadores sobre ese proyecto fue el estudio más grande de VPN orientadas al consumidor hasta la fecha, y ganó el primer lugar en la Competencia de Investigación Aplicada de Seguridad Cibernética CSAW ’22 que tuvo lugar en NYU en noviembre de 2022.
El equipo de la UM también colaboró con investigadores de la Universidad Estatal de Arizona dirigidos por el profesor asociado Jed Crandall, Servicios de Información y Tecnología de la Universidad de Michigan, y el científico investigador Michalis Kallitsis de Merit Network para demostrar lo fácil que es para los proveedores de redes y los censores detectar el uso de OpenVPN, el protocolo VPN más popular y de uso generalizado. En este trabajo, detallaron una técnica para desafiar el anonimato de VPN e identificar con precisión o «huella digital» más del 85 % de los flujos de OpenVPN en un ISP de un millón de usuarios, con falsos positivos insignificantes.
«Llegamos a la conclusión de que rastrear y bloquear el uso de OpenVPN, incluso con las contramedidas VPN más actuales, es sencillo y está al alcance de cualquier ISP u operador de red», escribió el equipo en su artículo.
Las VPN generalmente prometen protección de identidad, la capacidad de salvaguardar la acción política planificada y la capacidad de eludir la censura y el bloqueo geográfico. La vulnerabilidad que identificaron los investigadores los pone a todos en duda. El trabajo ganó el primer lugar en el USENIX/Meta Internet Defense Prize en el 31° Simposio de Seguridad de USENIX.
«Una VPN puede ser una herramienta en la caja de herramientas de un usuario de Internet, pero a menudo no es suficiente como la única solución para todas las necesidades de privacidad», dice Ramesh.
Igualmente valiosos, dicen los investigadores, son los conocimientos recopilados de sus extensas encuestas de usuarios y proveedores. Con su último estudio cuantitativo y cualitativo, que fue aceptado para su presentación en USENIX Security 2023 en agosto, avanzan en la comprensión del ecosistema VPN comercial e ilustran problemas clave y áreas de preocupación para ayudar a los defensores de la seguridad y la privacidad como Electronic Frontier. Foundation y el Centro para la Democracia y la Tecnología, los tecnólogos y los propios proveedores de VPN centran sus esfuerzos.
A partir de su estudio de 1.252 usuarios y nueve proveedores de VPN, también presentan recomendaciones prácticas para el ecosistema de VPN, incluida la priorización de la educación del usuario, la supervisión de los anuncios y el marketing en torno a las VPN, los esfuerzos coordinados para llamar la atención sobre el ecosistema de recomendaciones de VPN defectuoso y las regulaciones para frenar los ataques maliciosos. tácticas de marketing que conducen a falsos modelos mentales y falsas expectativas para los usuarios.
Ensafi, Crandall y Kallitsis miran hacia el futuro para avanzar en la investigación del ecosistema VPN y repensar los fundamentos de las tecnologías de tunelización para la seguridad, la privacidad y la facilidad de uso.
«Gente de todo el mundo está usando VPN con la esperanza de proteger su privacidad y ganar seguridad», dice Ensafi. «Queremos que sepan que no deben asumir que las VPN de hoy son la respuesta completa».
Más información:
«Todos ellos afirman ser los mejores»: estudio de múltiples perspectivas de usuarios de VPN y proveedores de VPN. vpnalyzer.org/assets/VPN_Surve … SENIX23_Preprint.pdf
VPNInspector: Investigación Sistemática del Ecosistema VPN. www.ndss-symposium.org/ndss-paper/auto-draft-244/
Citación: Una VPN puede ser una herramienta de Internet, pero a menudo no es suficiente para todas las necesidades de privacidad (8 de febrero de 2023) consultado el 8 de febrero de 2023 en https://techxplore.com/news/2023-02-vpn-internet-tool-sufficient- privacidad.html
Este documento está sujeto a derechos de autor. Aparte de cualquier trato justo con fines de estudio o investigación privados, ninguna parte puede reproducirse sin el permiso por escrito. El contenido se proporciona únicamente con fines informativos.