Podcast: Descargar (Duración: 21:48 — 20.6MB)
Ya sabéis que soy un defensor a ultranza de Internet y lo que representa, pero lamentablemente conectarse a Internet no siempre es seguro y es necesario tomar medidas de protección.
Quizás el pensamiento naif de los primeros pobladores de Internet nos haya llevado a esta situación en la que hay que ir con mucho cuidado para no exponer nuestros datos y que puedan convertirse en mercancia con la que otros puedan utilizarnos.
No estoy hablando ni de Mad Max ni de ningún futuro postapocaliptico, sino de un presente que está aquí y que vivimos todos los días.
Os imagináis que en vuestra vida física le estuvierais diciendo constantemente a cualquiera qué habéis mirado, con quien habéis hablado, qué habéis comprado, cuánto os ha costado, qué piensas sobre política, religión o fútbol … en fin, podría tirarme horas así.
Es inaceptable el pensar que tuviéramos que vivir así, pero en Internet es lo que ocurre cada vez que arrancas el ordenador, móvil, tablet o sea lo que sea con lo que te conectes a Internet.
Y aunque os parezca increíble, a mi al menos me lo parece, hay mucha gente que no le importa y no le da importancia y a mi me parece una barbaridad.
Hoy simplemente quiero hablaros de la necesidad de proteger nuestra conexión a Internet y de proteger nuestra privacidad todo lo que podamos, los nuestros y los de todos los que dependan de nosotros, familia, amigos, clientes …
No se si os acordáis, pero hace algún tiempo os estuve comentando que Orange estaba limitando el acceso a distintas webs aprovechando el problemilla de SNI con la negociación del TLS.
Si están escuchando todos los paquetes que pasan y filtran aquellos en los que en la negociación del TLS aparece la web que quieren filtrar saben quien ha hecho la petición, saben la IP y las IPs de los clientes de Orange las asigna el propio Orange.
Es decir, pueden saber nombre y apellidos de la persona que ha hecho la petición y no se molestan en ocultarlo pues nos bloquean la web y vete a saber si se guarda un registro con esa información.
DNS
¿Vosotros estaríais cómodos ante un registro de quien ha visitado ciertas webs? y claro, estoy dando por supuesto no se usa el DNS de la operadora, con el DNS ya no hay ninguna limitación en conocer cosas.
En cualquier conexión a Internet hay dos cosas que son fundamentales para conocer lo que hacen los usuarios: la conexión en si y el DNS.
Si tenemos control del DNS sabemos las peticiones que se hacen y es más, podemos saber qué equipos hay en esa casa porque un alexa hace unas peticiones concretas, un google home hace otras o un móvil de xiaomi hace otras y siempre son las mismas.
¿De verdad queréis que alguien sepa qué tenéis en vuestra casa y por donde navegáis?
A mi no me tranquiliza mucho saber que ese perfil se puede sacar fácilmente.
¿Qué hace la gente para intentar minimizar la información que se puede obtener por DNS?
- Usar DNSs de distintos proveedores para que ninguno tenga todas las peticiones
- Filtrar peticiones utilizando in pi-hole, unbound o similar en casas
- Utilizar servicios externos como nextdns
Al final tenemos un tema de confianza.
Conexión
Otro tema es la conexión, ¿os fiáis de vuestra conexión?
Ya os he contado lo que sucede con Orange, en otros proveedores seguramente será igual, así que tenéis que encontrar uno que os de garantías o salir por otro sitio a Internet.
Para salir por otro sitio la opción que hay es o una VPN o Tor. O incluso una VPN que conecta con otra VPN y así.
Ahí tenemos que confiar en quien nos facilita la VPN, otra vez tenemos el tema de la confianza.
Pero ahora que Google empieza a ofrecer servicio de VPN, ¿En serio veis a Google como un proveedor confiable de VPN? antes sólo podían ver el DNS de aquellos que usaran su magnífico (nótese la ironía) 8.8.8.8 y ahora además podrán ver el tráfico completo.
Por supuesto los operadores de telecomunicaciones no quieren que uses VPNs pues dejan de ver el tráfico y los gobiernos, bueno, es cuestión de tiempo que caigan.
En cuanto a Tor la confianza es algo todavía más fuerte, pero es una opción aunque últimamente se está comentando que la red tor está empezando a ser controlada. (https://www.xataka.com/seguridad/alguien-se-esta-haciendo-tor-controla-10-nodos-salida-que-permiten-interceptar-trafico-red)
¿Qué hago yo?
En mi caso utilizo varias vpns y varios sevicios de DNS.
Por un lado utilizo el servicio de DNS que ofrece NextDNS y también utilizo unos servidores de Neodigit, porque trabajo ahí, sé cómo están montados y se que no problemas para su uso.
Aquí de nuevo, yo lo se, pero si fuera externo tendría que fiarme.
Habrá muchos sitios más que sus DNSs no se utilicen para inspeccionar el tráfico de los usuarios, pero ¿cómo saber quienes son?, ahí radica parte del problema.
En cuanto a las VPNs pues también tengo una con mi casa, también tengo un servicio de VPN (Wireguard) de Neodigit y también tengo alguna propia en algún servidor mío, pero mi tráfico nunca sale por un sitio que no quiero.
El mayor peligro el desconocimiento y «el pasar de todo»
«No hay peor ciego que aquel que no quiere ver» dice el dicho, pues es tal cual, por desgracia no hay una cultura de mantener una mínima privacidad en Internet.
Buena parte de nuestro trabajo consiste en explicarle a la gente que las VPNs no son sólo para el trabajo y que el DNS es importantísimo, no tan sólo una comodity.
Y luego es cierto que cualquier empresa de Internet es capaz de ver el tráfico que tiene, pero el tema es ver qué se hace con esa información, porque no es lo mismo tener la información en un netflow para atajar ataques de denegación de servicio que para hacer perfiles de los usuarios.
Pero de todos modos vosotros pensar que si estáis en un servidor de VPNs, con más usuarios y que no guarde el tráfico de sus usuarios.
Desde fuera no se puede saber qué usuario ha hecho la petición a la Internet pública por el NAT que suele haber en los servidores de VPN, evidentemente todo lo que quede dentro de la VPN no se ve por ningún lado, incluídas las peticiones de DNS.
Foto de Mike Navolta en Pexels