La inspección profunda de paquetes (Deep Packet Inspection : DPI) es un método de examen de los paquetes de datos que pasan por una red para identificar el tipo de tráfico. La inspección profunda de paquetes puede suscitar preocupación por la privacidad y la protección de los datos personales. Es importante conocer estas prácticas y tomar las medidas necesarias para proteger la información personal en línea.
¿Debería preocuparme la inspección profunda de paquetes de datos?
¿Qué es un paquete de datos?
Un paquete de datos es una unidad de información transmitida a través de una red informática. Contiene los datos que se van a transmitir e información sobre su destino.
Cuando los datos se envían a través de una red, se dividen en pequeños fragmentos. Estas pequeñas porciones se denominan paquetes de datos. Todos los datos transmitidos por Internet se envían en paquetes.
El protocolo de Internet utiliza paquetes de datos para garantizar que la información enviada llega al destino correcto. Cuando todos los paquetes que componen un conjunto de datos, como una imagen, un vídeo o el contenido de un email, llegan a su destino, se vuelven a ensamblar.
Los datos reales contenidos en un paquete se denominan carga útil. Cada paquete tiene también una cabecera que contiene metadatos. Su función es indicar cierta información importante, como el destino y el origen.
Esta técnica se utiliza habitualmente en cortafuegos, sistemas de detección de intrusos y otros sistemas de seguridad de redes.
Por desgracia, las mismas técnicas de análisis utilizadas para proteger las redes privadas también pueden desviarse con fines de vigilancia y censura.
El uso de una VPN impide este tipo de análisis porque los paquetes están cifrados. Pero el propio protocolo VPN puede ser identificado por DPI. Por eso algunos sitios web y servicios en línea detectan que utilizas una VPN y bloquean tu acceso.
¿Cómo funciona el análisis de paquetes?
El primer paso en el análisis de paquetes es obtener conjuntos de paquetes para analizar. Esto se puede hacer de varias maneras, pero la duplicación de puertos, la escucha de redes físicas y el rastreo de paquetes WiFi se encuentran entre las prácticas más comunes.
Una vez que una organización tiene acceso a los paquetes, puede analizarlos de varias maneras.
Análisis simple de paquetes
La forma más sencilla (y barata) de que una organización bloquee el tráfico de red es examinar la información contenida en las cabeceras de los paquetes. Las organizaciones pueden bloquear paquetes basándose en los puertos que utilizan o en la dirección IP de destino.
Inspección en profundidad de paquetes
El problema del simple análisis de paquetes para las organizaciones que desean censurar Internet es que es fácil de eludir. Una VPN simplemente cambia la dirección IP de destino y/o los números de puerto utilizados. La inspección profunda de paquetes analiza el paquete completo, incluida la carga útil.
¿Cómo funciona la inspección profunda de paquetes?
Las técnicas de DPI incluyen :
Detección basada en firmas
Compara los paquetes con una base de datos de patrones de tráfico malicioso o no deseado conocidos.
Detección de anomalías
Busca patrones o comportamientos que se desvían del tráfico normal de la red. Los usuarios de Tor son el objetivo en muchos países.
Análisis de protocolos
Examina la estructura y el formato de los paquetes para identificar el protocolo utilizado.
Inspección de contenidos
Examina los datos reales contenidos en las cargas útiles, como el texto de un email, para identificar y bloquear palabras clave o frases específicas.
Análisis del comportamiento
Examina el comportamiento del tráfico de red a lo largo del tiempo, por ejemplo la frecuencia de las conexiones a un servidor concreto o la cantidad de datos transferidos, para identificar y bloquear patrones inusuales de actividad.
Desactiva siempre las funciones para compartir la ubicación.
Evita compartir información específica que pueda identificarte. En algún momento, tendrás que compartir información sobre ti. Al fin y al cabo, estás intentando convencer a alguien de que eres lo suficientemente interesante como para conocerle. Intenta hablar más de tus intereses, ambiciones y preferencias.
Nunca tengas miedo de decir «no» si alguien te pide información personal que aún no estás dispuesto a compartir.
Evita enviar fotos a personas que no conozcas. Las fotos pueden contener metadatos que indican cuándo y dónde fueron tomadas. Si necesitas compartir una foto, asegúrate primero de eliminar los metadatos.
Desconfía de las conversaciones con IAs. Los bots en línea son cada vez más difíciles de detectar, pero una prueba que puedes hacer es introducir algunas palabras sin sentido en una frase, como «Me encanta a;klm:mfd», y ver si el bot repite la palabra sin sentido o hace una pregunta de seguimiento. Si se trata de un ser humano, siempre puedes protegerte diciendo que se te ha colado el teléfono.
No aceptes inmediatamente ser amigo de un compañero en Facebook. Cuando alguien tenga acceso a tu cuenta de Facebook, podrá ver tu red de amigos y familiares, así como tus actividades anteriores y tu ubicación.
Inspección exhaustiva de datos y censura
Algunos países quieren limitar el acceso a la información en Internet. Cortar Internet no es una solución viable debido a la dependencia económica de estos países de la red.
La solución para estos países es hacer que Internet esté disponible, pero bloquear los sitios web y aplicaciones a los que no quieren que sus ciudadanos tengan acceso. Es muy sencillo de aplicar. Basta con que los proveedores de servicios de Internet (ISP) bloqueen las conexiones a determinadas direcciones IP.
El problema de este planteamiento es que dispositivos como las redes privadas virtuales facilitan a los internautas saltarse estos bloqueos. Los usuarios de VPN pueden ser detectados y bloqueados mediante una inspección detallada de los paquetes de datos.
Más información: ¿Qué es la censura en Internet?
¿Cómo se utiliza el DPI para detectar usuarios de VPN?
Los censores en línea y los internautas llevan jugando al gato y al ratón desde los primeros días de Internet. Al principio, los ISP bloqueaban determinados puertos, por lo que los internautas empezaron a utilizar puertos no estándar.
Los gobiernos represivos respondieron utilizando la inspección de paquetes para determinar qué hacía el tráfico en los puertos abiertos, lo que animó a la gente a utilizar VPN para sortear el problema.
A su vez, los censores desarrollaron técnicas DPI más sofisticadas, y así sucesivamente.
La inspección profunda de paquetes es difícil de eludir porque examina todo el elemento para identificar el tráfico VPN de varias maneras. Estos métodos incluyen :
Análisis de protocolos
Examina la estructura y el formato de los paquetes para identificar el protocolo VPN utilizado y detectar si los paquetes utilizan un protocolo VPN como OpenVPN, WireGuard®, PPTP, L2TP o IKEv2.
Análisis del tamaño de los paquetes
Un tamaño inusual de los paquetes puede indicar el uso de una red privada virtual.
Análisis del comportamiento
DPI puede examinar el comportamiento del tráfico de red a lo largo del tiempo para identificar patrones que puedan indicar el uso de software VPN. Por ejemplo, un pico inusual en el tráfico a un servidor específico o un cambio repentino en la ubicación de las direcciones IP podría levantar una bandera roja.
Las VPN se adaptan y luchan por cumplir su función
Una VPN crea una conexión cifrada entre su dispositivo y un servidor seguro. A continuación, la aplicación VPN enruta todas las conexiones desde su dispositivo a través de un túnel VPN. Esto incluye las peticiones de DNS, que son gestionadas por el proveedor de la VPN y no por su ISP.
Como los datos enviados están encriptados de forma segura, tu proveedor de Internet (y, por extensión, cualquier tercero) no puede ver el contenido de tus datos ni los sitios web y servicios que visitas. Lo único que pueden ver es la dirección IP del servidor VPN al que se ha conectado.
Ocasionalmente, algunas direcciones IP de servidores VPN se detectan y se incluyen en listas negras, pero ten por seguro que esto nunca dura. Los proveedores de VPN las cambian regularmente.
Lo que un ISP no puede ver, no lo puede bloquear.
Las mejores VPN desarrollan diferentes formas de enmascarar su uso. Entre ellas, el uso de protocolos furtivos, servidores ocultos, conexiones MultiHop (la creación de varios puentes), el uso de puertos diferentes, etc.
Aunque los protocolos VPN utilizan puertos programados por defecto, la mayoría de ellos pueden ejecutarse prácticamente en cualquier puerto (a excepción de los puertos reservados para funciones específicas).
En conclusión: ¿debería preocuparnos realmente la inspección profunda de paquetes de datos?
La respuesta es sí, ya que socava la privacidad digital y cada vez vemos más abusos relacionados con la vigilancia masiva y la censura en todo el mundo.