Cifrado VPN: ¿Qué es y cómo funciona?

Algoritmos y técnicas comunes de cifrado VPN

Aquí están los tipos más comunes de técnicas de cifrado que las VPNs utilizan para proteger tu tráfico y conexión en línea:

Cifrado de clave privada (simétrico)

El cifrado simétrico establece que ambas partes que se comunican tienen la misma clave para cifrar el texto claro y descifrar el texto cifrado.

La mayoría de las VPNs utilizan este algoritmo de cifrado. Además, el cifrado simétrico es utilizado por cifras como el Estándar de Cifrado Avanzado (AES) y Blowfish.

Cifrado de clave pública (asimétrico)

El cifrado asimétrico utiliza dos claves, una pública y una privada. La clave pública cifra el texto claro, pero solo la clave privada puede descifrar el texto cifrado.

El cifrado asimétrico exige que la mayoría de los usuarios tengan la clave pública, pero solo la parte autorizada puede tener la clave privada para descifrar.

Cifrado de «handshake»

Un «handshake» es un proceso de negociación que permite a las partes comunicarse entre sí y acordar qué algoritmos de cifrado o claves utilizar.

En la mayoría de los casos, el algoritmo Rivest-Shamir-Adleman (RSA) se utiliza para el cifrado de «handshake». Otras VPNs también utilizan el intercambio de claves Elliptic-curve Diffie-Hellman (ECDH).

El RSA-2048 o superior es difícil de romper y es considerado seguro por la mayoría de los proveedores. RSA utiliza una transformación simple y es muy lento. Por esta razón, se utiliza para «handshakes» y no para asegurar datos.

El Diffie-Hellman de curva elíptica (ECDH) es una mejora en el cifrado de «handshake» Diffie-Hellman (DH). DH reutiliza un conjunto limitado de números primos, lo que lo hace vulnerable.

Algoritmo de Hash Seguro (SHA)

El Algoritmo de Hash Seguro (SHA) es un algoritmo de hash para autenticar datos y conexiones SSL/TLS.

El proceso se refuerza mediante una huella digital única que crea para verificar la validez del certificado TLS como confirmación de que te estás conectando al servidor VPN correcto.

Es esencial mencionar que sin SHA, un hacker digital puede redirigir fácilmente tu tráfico en línea a su servidor en lugar de los servidores VPN objetivo.

Código de Autenticación de Mensajes basado en Hash (HMAC)

El Código de Autenticación de Mensajes basado en Hash (HMAC) es un tipo de Código de Autenticación de Mensajes (MAC) que combina una función de hash criptográfico y una clave criptográfica secreta.

La técnica verifica la integridad y autenticación de los datos para garantizar que permanezcan intactos.

La mayoría de las buenas VPNs suelen utilizar el algoritmo de hash SHA junto con la autenticación HMAC para máxima seguridad.

Perfect Forward Secrecy (PFS)

El Perfect Forward Secrecy (PFS) es una técnica de cifrado ordenada utilizada por un conjunto de protocolos de acuerdo de claves (principalmente RSA y ECDH) para garantizar que las claves de sesión no se vean comprometidas, incluso si se ve comprometida la clave privada de un servidor.

PFS genera nuevas claves utilizadas para cifrar y descifrar cada pocos segundos.

Cifras

Una cifra es un algoritmo que puedes utilizar para cifrar o descifrar. El estándar de seguridad de una cifra está determinado tanto por la longitud de la clave (128 bits, 192 bits o 256 bits) como por la fuerza de los algoritmos.

En general, cuanto más larga sea la longitud de la clave, más fuerte será la cifra. Pero esto también requiere más potencia de procesamiento.

En consecuencia, una cifra más fuerte requerirá más tiempo para cifrar y descifrar datos. Por lo tanto, la mayoría de los proveedores de VPN intentan equilibrar el rendimiento de seguridad al elegir una cifra.

Un número selecto de cifras que los proveedores de VPN suelen utilizar para cifrar y descifrar.

Estas cifras se consideran las más seguras en la industria, e incluyen el Estándar de Cifrado Avanzado (AES), Blowfish y Camellia.

Estándar de Cifrado Avanzado (AES)

AES es una cifra de clave privada que ofrece un rango de claves, incluidas 128 bits, 192 bits y 256 bits. AES significa el «estándar de oro» de la industria de las VPN, gracias a su reconocimiento por parte del gobierno de los EE. UU. y su certificación por parte de NIST.

La cifra AES también ofrece modos de cifrado en bloque; el encadenamiento de bloques de cifrado (CBC) y el modo Galois/Counter (GCM).

El encadenamiento de bloques de cifrado fortalece el algoritmo de cifrado en bloque con el bloque anterior, de ahí el nombre de encadenamiento.

Por lo tanto, esto hace que sea difícil de romper, ya que cada bloque de texto cifrado depende del número de bloques de texto sin formato. Esto hace que CBC sea más lento en cuanto a rendimiento.

El modo Galois/Counter utiliza metodologías de transformación para cifrados en bloque en lugar de encadenarlos. También combina el hash para garantizar un cifrado autenticado.

Este modo ofrece un rendimiento más rápido con alta seguridad incluso en dispositivos con baja potencia de procesamiento. Sin embargo, menos VPNs utilizan GCM ya que CBC fue ampliamente aceptado.

Blowfish

Blowfish se identifica como la cifra oficial de OpenVPN. Este protocolo VPN utiliza principalmente el Blowfish-128, aunque admite otros niveles hasta 448.

Esta cifra se considera segura, pero los estudios sugieren que tiene algunas debilidades. Por lo tanto, solo recomendamos esta opción si el AES de 256 bits no es una opción.

Camellia

Camellia es una cifra rápida y segura que admite tamaños de clave de 128, 192 y 256 bits. Sin embargo, Camellia solo está certificado por ISO-IEC, pero no por NIST.

Esto significa que la cifra no es tan popular entre las VPNs como su homólogo, AES.

Si no te gustan los fuertes vínculos de AES con el gobierno de EE. UU., Camellia es una opción a considerar. Pero ten en cuenta que Camellia no ha sido tan rigurosamente probado como AES.

Protocolos de cifrado VPN

El protocolo de cifrado VPN describe cómo una VPN creará un túnel seguro entre tu dispositivo y el servidor objetivo. Los proveedores de VPN utilizan diferentes protocolos de cifrado para asegurar tu conexión y tráfico en línea.

Los protocolos de cifrado VPN varían en velocidades, estándares de seguridad, movilidad y rendimiento general. Aquí hay algunos de los protocolos de cifrado VPN más utilizados en la industria:

• IKEv2/IPSec: Seguro, estable y muy rápido.
• OpenVPN: El mejor de su clase. Muy seguro, estable y bastante rápido.
• WireGuard: es una adición reciente a la industria de las VPN y ofrece un impresionante equilibrio entre seguridad, fiabilidad y velocidades rápidas.
• SoftEther: también es nuevo en el mercado y se considera seguro, estable y rápido.

¿Cuáles son los mejores estándares de cifrado VPN?

Diferentes VPN ofrecen distintos estándares de seguridad a sus usuarios.

Aunque es difícil decidir cuáles son los mejores estándares de cifrado VPN, aquí te presentamos los detalles técnicos básicos que debes buscar en una VPN:

• Protocolos de intercambio de claves como RSA-2048 o ECDH.
• Longitud de clave de cifrado de 256 bits.
• Cifrados de grado militar como AES (GCM/CBC), Blowfish o Camellia.
• Protocolos de cifrado VPN de alto rendimiento como OpenVPN, WireGuard, IKEv2/IPSec y SoftEther.
• Cifrado SHA-2 para autenticación HMAC.
• Soporte para Perfect Forward Secrecy (PFS).

Conclusión

El cifrado VPN es un concepto amplio y puede ser complicado de entender. Sin embargo, con los conceptos básicos mencionados anteriormente, ahora comprendes mejor cómo funciona el cifrado VPN.

Esto incluye varios algoritmos de cifrado, cifrados, protocolos de cifrado y otras técnicas utilizadas por diversos proveedores de VPN para garantizar la seguridad.

Si tienes dudas sobre qué servicio VPN seguro elegir, consulta la sección anterior sobre el mejor estándar de cifrado VPN.

Recuerda que no todas las VPN tienen en mente tu seguridad y privacidad; por lo tanto, es necesario llevar a cabo una investigación exhaustiva.