Protección VPN
En una configuración VPN convencional, todo tu tráfico de Internet está tunelizado a través de un único servidor operado por el proveedor VPN. Esto es lo que eso significa en la práctica:
- Cifrado: Tu tráfico está cifrado entre tu consola y el servidor VPN, evitar que las escuchas telefónicas locales (como los proveedores de servicios de Internet o los operadores de Wi-Fi públicos) vean lo que está haciendo.
- Anonimización (parcial): Tu dirección IP está enmascarada desde el mundo exterior, reemplazada por la del servidor VPN.
La vulnerabilidad de las VPN tradicionales
Sin embargo, hay una gran advertencia: el servidor VPN se convierte en un poderoso punto de vigilancia. Ve tu dirección IP real y el destino final de tu tráfico. Incluso si la conexión está cifrada, el proveedor de VPN puede rastrear cada sitio web que visita y cuándo. Esencialmente has intercambiado confianza en tu proveedor de VPN por confianza.
En la mayoría de los casos de uso del mundo real, como la navegación web, los datos dentro del túnel VPN se cifran en la capa de aplicación usando HTTPS. Esto significa que mientras el proveedor de VPN puede ver al servidor al que está conectando (p. ej. la dirección IP o incluso el dominio, a través de los metadatos DNS o TLS), no puede leer el contenido real de su comunicación, tales como las páginas web que usted ve o los datos que usted envía en formularios. Aún así, el proveedor conserva la visibilidad en la conexión metadata como las IP de destino, (en algunos casos), volumen de tráfico e información de temporización que todavía se puede utilizar para perfilar la actividad del usuario.
¿Por qué dos saltos? Introduzca la VPN multisalto
Para mitigar este problema de centralización, las VPN de 2 saltos, a menudo conocidas como VPN descentralizadas (dVPNs), a través de dos servidores separados: un nodo de entrada y un nodo de salida. La idea central es que ningún servidor debe ser capaz de vincular su identidad a su actividad:
- El nodo de entrada (o puerta de enlace) ve tu dirección IP pero no la del destino final de tu tráfico en la web
- El nodo de salida ve la dirección IP del destino final, pero no sabe quién eres.
Este modelo de confianza dividida aumenta significativamente la privacidad si los dos nodos son gestionados por entidades independientes y no complacientes. Pero eso es un gran "si". Por ejemplo, si una sola empresa o entidad opera tanto los servidores de entrada como de salida, pueden correlacionar y reconstruir el camino de toda su actividad. Esto nos lleva de vuelta al problema original de la confianza centralizada anterior.
Wirex Guard: Cuatro maneras de diseñar una VPN de 2 saltos
Exploremos diferentes maneras de construir una VPN de 2 saltos usando WireGuard, un protocolo VPN rápido y moderno conocido por su simplicidad y rendimiento. Cada método conlleva diferentes implicaciones para la privacidad.
1. Túnel único de WireGuard al nodo de salida
Cómo funciona
El cliente crea un túnel Wirex Guard directamente con el nodo de salida. El nodo de entrada simplemente reenvía los paquetes cifrados en túneles sin realizar ningún cifrado o descifrado. La conexión desde el cliente al nodo de entrada puede utilizar cualquier protocolo de transporte, por ejemplo, QUIC, TCP, o incluso un túnel oscurecido, dependiendo de lo que soporte el sistema.
Implicaciones de privacidad
Dado que el tráfico transmitido por el nodo de entrada está cifrado dentro del túnel Wirex Guard entre cliente y salida, el nodo de entrada no tiene acceso al contenido del tráfico o la IP de destino. Dado que no hay conexión directa entre el cliente y el nodo de salida, el nodo de salida no aprende la dirección IP del cliente.
Sin embargo, cabe señalar que el túnel de la Guardia Wirex establecido entre el cliente y el nodo de salida requiere un intercambio de claves públicas. Esto significa que el nodo de salida conoce la clave pública del cliente, y puesto que las claves de WireGuard son duraderas por defecto, el nodo de salida puede, en principio, rastrear y correlacionar la actividad del cliente a través de varias sesiones, incluso si la dirección IP cambia. Si bien la rotación clave puede reducir este riesgo, Wirex no lo gestiona automáticamente. Como resultado, el nodo de salida puede vincular la identidad del cliente con el destino final del tráfico. Por lo tanto, esta configuración puede permitir potencialmente la elaboración de perfiles a largo plazo de los clientes.
2. Túnel único de WireGuard al nodo de entrada
Cómo funciona
El cliente establece un túnel Wirex Guard con el nodo de entrada, que descifra el tráfico y lo reenvía al nodo de salida a través de canales regulares. La conexión entre los nodos de entrada y salida puede utilizar cualquier protocolo de transporte, pero no forma parte del túnel Wirex Guard establecido con el cliente.
Implicaciones de privacidad
Dado que el túnel de WireGuard termina en el nodo de entrada, el nodo de entrada puede ver la dirección IP del cliente y el destino previsto. Aunque el nodo de salida sólo ve tráfico desde el nodo de entrada y no puede enlazarlo al cliente original, el nodo de entrada tiene acceso tanto a la identidad del cliente como al destino, permitiendo que el nodo correlacione quién es el usuario y a dónde va. Si su objetivo es la desvinculabilidad entre la identidad del cliente y el destino, este modelo falla porque el nodo de entrada tiene visibilidad en ambos extremos de la conversación. Por lo tanto, desde una perspectiva de privacidad, esto no es mejor que una VPN tradicional.
3. Túneles de Wirex encadenados (recifrado en el nodo de entrada)
Cómo funciona
El cliente establece un túnel Wirex Guard con el nodo de entrada. El nodo de entrada descifra el tráfico del cliente, y luego lo vuelve a cifrar al nodo de salida dentro de un nuevo túnel WireGuard. El nodo de salida desencripta este segundo túnel y redirige el tráfico al destino final.
Este diseño implica dos túneles de WireGuard separados:
- Uno del cliente al nodo de entrada
- Uno del nodo de entrada al nodo de salida
El cliente sólo participa en el primer túnel. El segundo es administrado enteramente por los nodos de entrada y salida.
Implicaciones de privacidad
Dado que el túnel Wirex del cliente termina en el nodo de entrada, el nodo de entrada tiene plena visibilidad de la identidad y actividad del usuario. Ve la dirección IP real del cliente y los contenidos descifrados del tráfico, incluyendo la IP de destino y cualquier dato no cifrado. Esto significa que el nodo de entrada puede inspeccionar, registrar o modificar el tráfico antes de pasarlo.
El nodo de salida, por otra parte, recibe el tráfico del nodo de entrada dentro de un túnel de Wirex separado. No conoce la dirección IP del cliente original pero puede ver la IP de destino y cualquier contenido de texto claro. Este enfoque ofrece una mejora parcial sobre las VPN de un solo salto al involucrar dos nodos, pero el nodo de entrada todavía tiene visibilidad tanto en la identidad del cliente como en el destino. Sólo el nodo de salida está aislado de conocer la fuente del tráfico. Además, sin cifrado de capa de aplicación (por ejemplo, HTTPS), el contenido de la comunicación también está expuesto a ambos nodos.
4. Túneles anidados de Wirex Guard (enfoque túnel en túnel de NymVPN)
Cómo funciona
En esta configuración, el cliente establece dos túneles anidados de WireGuard: un túnel interior para el nodo de salida y un túnel exterior para el nodo de entrada. El túnel interior se crea primero y encapsula el tráfico real; el túnel exterior después envuelve este túnel interior.
El nodo de salida se encripta primero para el nodo de salida, y luego de nuevo para el nodo de entrada. El nodo de entrada solo descifra el túnel exterior de WireGuard y reenvía el túnel interior de WireGuard, todavía completamente cifrado, al nodo de salida. El nodo de salida desencripta la capa interior y reenvía el tráfico a su destino final.
Implicaciones de privacidad
Este es el enfoque utilizado por el modo rápido de NymVPN, que aprovecha túneles anidados de Wirex Guard para preservar la invinculabilidad entre los usuarios y sus destinos. Así que veamos cómo funciona.
Debido a que el nodo de entrada sólo descifra el túnel exterior de WireGuard, no tiene acceso al contenido del tráfico o de la IP de destino. Conoce la dirección IP del cliente, ya que establece el túnel exterior directamente con el cliente, pero sólo ve el túnel interior de WireGuard destinado al nodo de salida. No puede inspeccionar, modificar ni aprender nada sobre el destino.
Mientras tanto, el nodo de salida desencripta el túnel interior de WireGuard y ve el destino final IP y el tráfico descifrado. Sin embargo, sólo recibe paquetes del nodo de entrada y no tiene visibilidad en la dirección IP o identidad original del cliente.
Esta estricta separación de la información significa que ninguno de los dos nodos, por sí solo, puede correlacionar la fuente (cliente IP) con el destino (servidor IP). El nodo de entrada sabe quién es el usuario, pero no adónde va. El nodo de salida sabe de dónde se dirige el tráfico, pero no de quién venía. Mientras los dos nodos sean operados de forma independiente y no compartan registros o metadatos, esta configuración asegura una fuerte desvinculación entre la identidad del usuario y su actividad en línea. Incluso si un nodo está comprometido, no puede desanonimizar completamente al usuario por sí mismo.
Al igual que en el caso de un solo túnel Wirex Guard al nodo de salida, el cliente debe cambiar su clave pública con el nodo de salida. Como resultado, a menos que el cliente gire sus claves regularmente, el nodo de salida puede asociar la identidad del cliente con su actividad en línea a lo largo del tiempo.
Sin embargo, en el túnel único para salir de la configuración, si no se utiliza cifrado adicional de transporte, un observador de red capaz de supervisar tanto el enlace entre el cliente como el nodo de entrada, y el enlace entre el nodo de entrada y salida, pueden correlacionar patrones de tráfico y potencialmente vincular clientes a nodos de salida específicos. Esto debilita la desvinculabilidad y aumenta el riesgo de elaboración de perfiles a través del análisis del tráfico.
Conclusión: Importa el diseño VPN
"Decentralization” se lanza a menudo en el mercado VPN, pero la ganancia real de privacidad proviene de cómo se arquitectan los sistemas, no de lo que se llaman. Una configuración VPN de 2 saltos puede ser significativamente mejor para la privacidad, pero sólo si:
- Los nodos de entrada y salida son operados por partidos independientes no complacientes
- El protocolo y diseño de túneles previenen la inspección y correlación del tráfico
Si estás evaluando una solución dVPN o pensando en configurar uno, ten en cuenta: la descentralización no es solo cuestión de tener más nodos, se trata de distribuir la confianza de una manera que ninguna de las partes puede juntar la imagen completa de su vida en línea.
