Una “red privada virtual” (con sigla VPN en inglés) es una instrumentación técnica sobres redes físicas, que produce una canal privado y protegido de comunicación digital entre extremos que se comunican. Comúnmente conforman canales exclusivos de transmisión, a través de un túnel de acceso restringido, que se apoyan en tecnologías de tipo cifrado/descifrado, control de acceso y autenticación. Hoy en día se usan entre dispositivos de interconexión de proveedores de telecomunicaciones, al igual que se incorporan en dispositivos finales, como por ejemplo son los teléfonos inteligentes.
La razón de utilizar este artificio técnico es la de disponer de cierta privacidad y garantía de autenticidad en la comunicación. Elementos valorados en una Internet donde abundan peligros, pero a la que también, cada día se requiere más acceder. Sea para evadir controles o por gozar de un nivel superior de confidencialidad en las comunicaciones, las VPN se pueden incorporar para navegar por la red de redes y hoy en día ganan en popularidad de uso. Hasta aquí nada extraordinario en términos de ciberseguridad, pero por estos días una sombra ha aparecido sobre una conocida extensión del navegador estrella de Google® que tiene más de cien mil descargas e instalaciones.
Y allí radica la singularidad del caso, que la extensión parece proveer el servicio que una VPN debe otorgar, pero a espaldas del usuario, también captura pantallas de lo que este visita y los envía a un servidor, aparentemente desconocido. Para mayor suspicacia, la extensión VPN ha sido bajado de sitios supuestamente confiables, donde procesos automatizados de la empresa de Mountain View, California, verifican que el software allí provisto ha superado las exigencias de seguridad del repositorio digital. En otras palabras, la extensión con características de “caballo de Troya” se obtuvo en un sitio confiable y oficial para descargar. No hay engaños tipo “phishing” o alteración final con “puertas traseras” de software.
Los desarrolladores de la extensión han refutado el descubrimiento, señalando que se trata de una característica de protección adicional que incorpora la VPN. Las capturas son únicamente revisadas por herramientas de Inteligencia Artificial (IA), que comprueban que las localidades visitadas no sean malignas. No hay transferencia de información y todo es temporal. Incluso agregaron que la descripción del producto revela que la extensión incorpora “detección avanzada con IA de amenazas”, en modalidad pasiva y además, supervisión constante de sitios webs sospechosos. Eso quiere decir, que ellos estarían cumpliendo lo que ofrecen.
Entonces, ¿de qué se trata el enredo?. La confusión radica en confundir el medio con el fin. Un desliz en el diseño de la aplicación. Un error común con algunos tecnólogos, que por estar tan inmersos en asuntos de ingeniería o ciencia relegan la consideración del propósito final. Esto quiere decir, que si usted desea proveer privacidad a su cliente final, al esmerarse en su trabajo de controlar todo lo que pueda atentar contra ésta, debe también cuidar el no convertirse en una amenaza a la misma. Es importante señalar también, que es posible evaluar este asunto desde el punto de vista legal del acuerdo. Esto significa que no faltarán abogados que señalen que la falla está en no ser más claro en lo que se hace técnicamente. Una perspectiva adicional, es esperar otra postura que afirme que el problema es la ignorancia del cliente, por no averiguar y comprender bien lo que significa la protección que usa. Un buen ejemplo, de cuán difícil puede resultar señalar responsables de situaciones de inseguridad no percibidas inicialmente.
Otra lección que se puede deducir de este desafortunado suceso va para los usuarios de la tecnología de seguridad. No presuma que por tener más IA o más características de protección, está más seguro. Recuerde que las empresas de tecnología tienen departamentos legales y eso es por algo. Los contratos, acuerdos y declaraciones que emiten, fijan márgenes de responsabilidades y obligaciones, por lo que se debe suponer que aún siendo emporios tecnológicos tienen límites. Eso se conoce como lea las letras pequeñas. Google tiene una cláusula en su contrato de servicio, que la exime de responsabilidades por cualquier producto defectuoso en su tienda web, cuyo origen provengan de otra fuente externa.
Se nos viene a la mente una máxima de seguridad del Dr. Roger Johnson, del Laboratorio Nacional de Vulnerabilidades de Argonne, que tristemente resume cientos de malas experiencias y dice así: “Cuanto más importante es una aplicación de seguridad, menos cuidado y pensamiento crítico se pone en ella”.
Autor: Miguel Torrealba Sánchez.
Universidad Simón Bolívar
Departamento de Computación y Tecnología de la Información
mtorrealba@usb.ve
