Aproximadamente una cuarta parte de los usuarios de Internet utilizan una red privada virtual, una configuración de software que crea una seguridad, Conexión de datos encriptados entre su propia computadora y otra en otro lugar de Internet. Mucha gente los usa para proteger su privacidad cuando usa puntos de acceso Wi-Fi, o para conectarse de forma segura a las redes del lugar de trabajo mientras viaja. Otros usuarios están preocupados por la vigilancia de los gobiernos y los proveedores de Internet.

Muchas empresas de VPN prometen utilizar un cifrado sólido para proteger los datos, y dicen que protegen la privacidad de los usuarios al no almacenar registros de dónde acceden las personas al servicio o qué hacen mientras están conectadas. Si todo funcionó como se suponía que debía hacerlo, alguien fisgoneando en la computadora de la persona no vería toda su actividad en Internet, solo una conexión ininteligible a esa computadora. Cualquier empresa, Los gobiernos o los piratas informáticos que espían el tráfico general de Internet aún podrían detectar una computadora que transmite información confidencial o navega por Facebook en la oficina, pero pensarían que la actividad se está realizando en una computadora diferente a la que la persona realmente está usando.

Sin embargo, la mayoría de las personas, incluidos los clientes de VPN, no tienen las habilidades para verificar dos veces que están obteniendo lo que pagaron. Un grupo de investigadores del que formé parte tiene esas habilidades, y nuestro examen de los servicios proporcionados por 200 empresas de VPN descubrió que muchas de ellas engañan a los clientes sobre aspectos clave de la protección de sus usuarios.

Los consumidores están a oscuras

Nuestra investigación encontró que es muy difícil para los clientes de VPN obtener información imparcial. Muchos proveedores de VPN pagan a blogs y sitios de reseñas de terceros para que promocionen sus servicios escribiendo reseñas positivas y clasificándolos en las primeras posiciones de las encuestas de la industria. Estos equivalen a anuncios para personas que están considerando comprar servicios de VPN, en lugar de revisiones independientes e imparciales. Estudiamos 26 sitios web de reseñas; 24 de ellos recibían algún tipo de pago de soborno por reseñas positivas.

Un ejemplo típico fue un sitio que enumera cientos de empresas de VPN que calificaron a más del 90 por ciento de ellas como 4 de 5 o más. Esto no es ilegal pero sesga evaluaciones que podrían ser independientes. También hace que la competencia sea mucho más difícil para los proveedores de VPN más nuevos y más pequeños que pueden tener un mejor servicio pero presupuestos más bajos para pagar una buena publicidad.

Vago sobre la privacidad de los datos

También aprendimos que las empresas de VPN no siempre hacen mucho para proteger los datos de los usuarios, a pesar de la publicidad que hacen. De las 200 empresas que analizamos, 50 no tenían ninguna política de privacidad publicada en línea, a pesar de que las leyes lo exigen.

Las empresas que publicaron políticas de privacidad variaron ampliamente en sus descripciones de cómo manejan los datos de los usuarios. Algunas políticas tenían tan solo 75 palabras, muy lejos del estándar de documentos legales de varias páginas en los sitios bancarios y de redes sociales. Otros no confirmaron formalmente lo que sugerían sus anuncios, dejando espacio para espiar a los usuarios incluso después de haber prometido no hacerlo.

Fugas o monitorización del tráfico

Gran parte de la seguridad de una VPN depende de garantizar que todo el tráfico de Internet del usuario pase por una conexión encriptada entre la computadora del usuario y el servidor VPN. Pero el software está escrito por humanos, y los humanos cometemos errores. Cuando probamos 61 sistemas VPN, Encontramos errores de programación y configuración en 13 de ellos que permitieron que el tráfico de Internet viajara fuera de la conexión encriptada, frustrando el propósito de usar una VPN y dejando la actividad en línea del usuario expuesta a espías y observadores externos.

También, porque las empresas de VPN pueden, si eligen, monitorear toda la actividad en línea en la que participan sus usuarios, verificamos para ver si alguno estaba haciendo eso. Descubrimos que seis de los 200 servicios VPN que estudiamos realmente monitoreaban el tráfico de los usuarios. Esto es diferente a una fuga accidental, porque implica observar activamente la actividad de los usuarios y posiblemente retener datos sobre lo que están haciendo los usuarios.

Alentado por los anuncios que se centran en la privacidad, los usuarios confían en estas empresas para no hacer esto, y no compartir lo que encuentren con los corredores de datos, empresas de publicidad y policía u otras agencias gubernamentales. Sin embargo, estas seis empresas de VPN no se comprometen legalmente a proteger a los usuarios, independientemente de sus promesas.

Mentir sobre las ubicaciones

Un gran punto de venta para muchas VPN es que afirman permitir que los clientes se conecten a Internet como si estuvieran en países distintos de donde realmente se encuentran. Algunos usuarios hacen esto para evitar restricciones de derechos de autor, ya sea ilegal o cuasi legalmente, como ver programas de Netflix de EE. UU. mientras está de vacaciones en Europa. Otros hacen esto para evitar la censura u otras reglas nacionales que rigen las actividades en Internet.

Nosotros encontramos, aunque, que esas afirmaciones de presencia internacional no siempre son ciertas. Nuestras sospechas surgieron por primera vez cuando vimos VPN que afirmaban que las personas podían usar Internet como si estuvieran en Irán. Corea del Norte y territorios insulares más pequeños como Barbados, Bermudas y Cabo Verde:lugares donde es muy difícil acceder a Internet, si no imposible para empresas extranjeras.

Cuando investigamos, Encontramos algunas VPN que afirman tener una gran cantidad de conexiones de Internet diversas en realidad solo tienen unos pocos servidores agrupados en un par de países. Nuestro estudio descubrió que manipulan los registros de enrutamiento de Internet para que parezcan prestar servicio en otras ubicaciones. Encontramos al menos seis servicios VPN que afirman enrutar su tráfico a través de un país pero que realmente lo transmiten a través de otro. Dependiendo de la actividad del usuario y las leyes del país, esto podría ser ilegal o incluso potencialmente mortal, pero al menos es engañoso.

Directrices para usuarios de VPN

Los clientes con mentalidad técnica que todavía estén interesados ​​en las VPN podrían considerar configurar sus propios servidores, ya sea utilizando servicios de computación en la nube o su conexión a Internet doméstica. Las personas con un poco menos de comodidad técnica podrían considerar usar el navegador Tor, una red de computadoras conectadas a Internet que ayudan a proteger la privacidad de sus usuarios.

Esos métodos son difíciles y pueden ser lentos. Al seleccionar un servicio VPN comercial, nuestro mejor consejo, informado por nuestra investigación, es leer detenidamente la política de privacidad del sitio, y compre suscripciones breves, quizás mes a mes, en lugar de los más largos, por lo que es más fácil cambiar si encuentra algo mejor.

Este artículo se ha vuelto a publicar de The Conversation con una licencia de Creative Commons. Lea el artículo original.