La pandemia provocada por el COVID 19 nos ha obligado a refugiarnos en casa y a trabajar de forma remota. Como consecuencia de ello hemos abandonado la seguridad de nuestra intranet corporativa, y ahora hacemos uso de Internet para acceder a nuestra red local, y obtener la información que necesitamos para realizar nuestra actividad. Es decir, nuestros datos ahora están más expuestos que nunca y deberíamos plantearnos garantizar accesos remotos más seguros mediante una VPN.

¿Qué es una VPN?

Una VPN (Virtual Private Network) es una tecnología de red que permite configurar una extensión segura de la red local (LAN) sobre una red pública como Internet.

En la práctica, lo que hace es ocultar nuestra dirección IP y hacer pasar nuestras conexiones a Internet por un túnel VPN cifrado.

Originalmente, las redes locales dependían en exclusiva del cable, y en la mayoría de las ocasiones sólo podíamos conectarnos a ellas desde un terminal situado en la oficina.

Con toda probabilidad, desde el punto de vista de la seguridad de los datos esta solución es la más efectiva, pero es totalmente ineficaz desde una perspectiva productiva.

Muy pronto, las empresas se dieron cuenta que necesitaban cruzar sus datos con sus sucursales para operar con plenas garantías, y empezaron a contratar líneas dedicadas. Pero estas eran muy costosas e Internet empezó a verse como la opción más viable.

El banco guarda mejor el dinero cuando lo tiene protegido en una caja fuerte que cuando lo mueve en furgones.

Por supuesto, que a estas alturas nadie puede poner en duda que hacer pasar los datos por Internet era y es la opción más lógica y coherente. Junto con la introducción de otras tecnologías como WIFI, y especialmente la tecnología relacionada con la movilidad han creado un nuevo espacio para las relaciones, y definitivamente han cambiado nuestra forma de vivir.

Hoy en día, no sólo es posible conectar a sucursales, sino que podemos seguir trabajando en los desplazamientos, desde nuestro hogar, o desde nuestra cafetería preferida (Smart Working). Pero también es cierto, que jamás nuestros datos habían estado tan expuestos como ahora.

Cómo funciona una VPN

Con una VPN nos conectamos al servicio de Internet mediante nuestro proveedor ISP (Internet Service Provider), y de allí nos dirige a nuestro servidor VPN, que es quien nos lleva a la página solicitada. Y esto es lo que denominamos un túnel de datos.

Vamos a poner un ejemplo, si yo quiero acceder a la página de Google y no uso VPN, introduzco la dirección de la página en la barra de búsqueda del navegador, y este se pone en contacto con el router para que busque la dirección IP de la página, en el servidor DNS proporcionado por nuestro proveedor de internet.

Siento decepcionaros, pero en internet las direcciones que valen se parecen más a 216.58.211.36 que a www.google.com. Sin embargo, utilizar un nombre además de ser más fácil de recordar, es más fiable ya que la dirección numérica podría cambiar por muchas razones, sin que eso implique que cambie el nombre del sitio web. Si queréis probar escribid "ping Google.com" en vuestra consola de MS-DOS.

Por cierto, DNS (Domain Name Server) es un servidor que se encarga de hacer la conversión de una URL a una dirección IP, y acceder al servidor de ese dominio más cercano.

Retomando el hilo de nuestro argumento, quiero comentaros que el router es el puesto intermedio entre Internet y la red local. Su labor principal consiste en solicitar los datos en Internet y distribuirlos entre los dispositivos de la red (ordenadores, portátiles, tablets, etc.). Para ello, una vez encontrada la dirección IP de la página solicitada, se la transferirá al navegador, y este a su vez, se pondrá en contacto con el servidor web que aloja la página, que finalmente le transferirá los datos que necesita para visualizarla.

El problema es que, para que la comunicación entre dispositivos sea posible tanto el router, como el navegador, tienen que proporcionar datos como nuestra dirección IP, el sistema operativo que utilizamos, el tipo de dispositivo desde el que hacemos la petición, etc.

¿Pero esto no sucedería igual si utilizo una VPN?

Como ya hemos visto en el intercambio de datos para acceder a una página web facilitamos datos que como mínimo permiten conocer nuestra IP pública, la página que queremos visitar, qué sistema operativo usamos, navegador, ubicación física, etc.

Pero la gran diferencia, cuando usamos una VPN, es que en este caso el que hace la petición de la página es el servidor VPN. Por lo tanto, los datos que se van a capturar se corresponden a los de la VPN y no a los nuestros.

Además, cuando utilizamos tecnología VPN lo lógico es que nuestros datos vayan encriptados por lo que ni tan siquiera nuestro ISP será capaz de saber qué buscamos.

Podemos establecer un paralelismo entre el tráfico de datos en Internet y el dinero que se transporta desde un banco a otro. El cliente VPN es el primer banco, el servidor VPN es el segundo banco y el cifrado VPN es el camión de seguridad que transporta el dinero entre las ubicaciones.

Por qué necesitamos una VPN

Desde el punto de vista de una empresa, una conexión VPN puede servirnos para permitir el acceso a la red privada de la organización a empleados de otras sucursales, o que trabajen de forma remota, minimizando la exposición de nuestros datos.

Existen multitud de situaciones donde nuestra contraseña puede ser capturada. Todos sin excepción nos hemos conectado a una wifi pública para realizar nuestro trabajo. Pero esa wifi puede ser el señuelo para que nos conectemos al ordenador de un hacker.

En este caso, si nuestra conexión no está cifrada nosotros mismos le vamos a hacer el trabajo al hacker.

VPN y cifrados

La encriptación no es específica del VPN pero en general siempre que se usan estas conexiones vienen acompañadas de un cifrado, por lo que es bastante común que nos recomienden utilizar una VPN si vamos a conectarnos a un punto de acceso Wifi público.

Los cifrados más comunes que suelen ofrecer los distintos proveedores de VPN son: OpenVPN, SoftEther, IKEv2, L2TP/IPSec, PPTP, SSTP (SSL).

Múltiples factores de autenticación

Ya existen muchos servicios que ofrecen verificación de dos factores para aumentar la seguridad de los accesos a las cuentas de usuario. Algunas plataformas además permiten configurar el mecanismo de autentificación y elegir si deseamos recibir el código de acceso por correo o directamente en nuestro móvil.

Integración con Active Directory

También es muy común que algunas soluciones VPN utilicen criptografía SSL y permitan el acceso mediante las credenciales del Active Directory.

En este caso, se crea un certificado que puede ser individual o colectivo para los usuarios de la VPN. Cuando se necesita el acceso el administrador puede asignar un certificado a un grupo de personas, de manera que si alguno de estos usuarios ya no necesita el acceso sólo tiene que eliminarlo del grupo, y no necesita revocar el certificado.