Esta siendo una semana difícil para ExpressVPN. Primero, anunció que había sido comprado por Kape Technologies, y luego saltó la noticia de que su CIO, Daniel Gericke, había sido condenado por participar en hackeos por los Emirates Árabes Unidos mientras trabajaba en el Proyecto Raven, antes de unirse a la compañía de la VPN.
Eso último ha tenido más impacto que lo primero, ¿pero qué significa todo eso si eres un usuario de ExpressVPN? ¿Y qué hay de si estabas pensando en suscribirte? ¿Deberías seguir utilizando su servicio VPN? Esto es lo que debes saber.
¿Quién es Kape Technologies?
Kape es la nueva compañía madre de ExpressVPN. Ya es propietaria de CyberGhost, Private Internet Express y ZenMate, otros tres servicios VPN muy conocidos. También es propietaria de la compañía de antivirus Intego y otras empresas de seguridad y privacidad.
Kape solía llamarse Crossrider y el principal motivo del cambio de nombre fue para distanciarse de su vil pasado en el que creó extensiones de navegador y productos de tecnología publicitaria, más conocidos como adware.
Este software le permitía a desarrolladores externos apropiarse de los navegadores web y redirigir a sus usuarios a anuncios y recolectar sus datos personales. Eso es todo lo contrario de lo uno quiere como usuario de una VPN o antivirus.
Según Kape, ya no produce adware y ahora se centra completamente en productos de seguridad de consumo. Aun así, sigue teniendo productos como Restoro entre sus marcas, una herramienta de optimización para PC que se basa en la herramienta antigua Reimage, que tenía una muy mala reputación.
La de Restoro no es mucho mejor. Algunos antivirus lo identifican como malware, mientras otros solo como PUP (Potentially Unwanted Program, o software potencialmente no deseado). Su página web afirma erróneamente que ha sido certificado por McAfee y Norton, mientras que las reviews de los usuarios critican su pobre servicio al cliente y su producto.
¿Cómo afecta eso a ExpressVPN?
Teóricamente, no afecta mucho. La compañía ya opera bajo la política de “zero-logs” (y así lo han certificado varias auditorías), y ha ido un paso más allá para que sus apps estén protegidas contra cualquiera que quiere introducir malware en ellas.
Así, ExpressVPN no sabe lo que haces mientras usas su servicio y no almacena ningún tipo de información sobre cuándo o por cuánto tiempo lo has utilizado.
El principal motivo por el cual ExpressVPN no está más arriba de nuestra lista de mejores servicios VPN es su elevado precio: es casi el doble de lo que cuestan sus principales rivales.
Justo antes de que se anunciara oficialmente la compra de Kape, un representante de ExpressVPN nos anticipó la noticia diciendo que “ExpressVPN seguirá operando en su día a día como un servicio independiente, con su equipo y líderes globales actuales, incluidos sus dos co-fundadores y sus co-CEOs”.
“Seguiremos manteniendo nuestra promesa de fuerte privacidad con nuestros usuarios, incluida nuestra política de no recolectar ninguna actividad o inicios de sesión, así como nuestra práctica de auditorías independientes externas”, siguió.
CyberGhost, PIA y ZenMate también operan como compañías independientes.
No obstante, si echas un vistazo a la web de CyberGhost ves que se sigue reservando el derecho de compartir datos personales con Kape. Al ser una compañía basada en el Reino Unido, se rige por la ley inglesa.
Es la misma situación con los usuarios de ZenMate. Es algo diferente con PIA, porque está basada en los Estados Unidos y esa es una jurisdicción poco favorable a la privacidad.
El Reino Unido es uno de los Cinco Ojos y es una jurisdicción a evitar al elegir una VPN. Pero CyberGhost asegura que eso en realidad protege a sus clientes: la ley inglesa cumple con el RGPD y, en cuando a la jurisdicción de solicitudes de información de su servicio VPN, sigue respondiendo ante la ley rumana (porque es allí donde está basado CyberGhost), mucho más favorable a la privacidad.
Así, mientras que ExpressVPN asegura que seguirá siendo independiente, es probable que actualice sus términos y condiciones y su política de privacidad para decir, también, que puede que comparta información con su nueva compañía madre. Y posiblemente también con sus empresas hermanas.
De nuevo, recuerda que no se almacena información sobre tu actividad (las páginas que visitas, los archivos que te descargas) porque hay una política de “zero-logs”. Así que la única información personal es la información que ExpressVPN tiene de tu cuenta, como tu nombre, dirección de corre y posiblemente datos bancarios.
¿Y qué hay de Daniel Gericke?
Lo que a la gente le preocupa es el pasado del CIO de ExpressVPN. Gericke trabajó en el Proyecto Raven, diseñado para ayudar a los Emirates Árabes Unidos a espiar a sus enemigos, y fue condenado por saltarse las leyes de hackeo junto a otros dos antiguos agentes del servicio de inteligencia de Estados Unidos.
ExpressVPN dice que conocía el pasado de Gericke antes de contratarlo en 2019 y que fue contratado precisamente por tener ese pasado.
En una entrada de blog con el objetivo de apaciguar los miedos de sus clientes, la compañía añadió: “No conocíamos los detalles de ninguna de las actividades clasificadas ni de ninguna investigación antes de la resolución de este mes”.
“Lamentamos que las noticias de los últimos días sobre Daniel Gericke haya creado preocupación entre nuestros usuarios y hayan causado que se cuestionen nuestro compromiso con nuestros principios. Para ser completamente francos, por mucho que valoramos la experiencia de Daniel y cómo ha ayudado a proteger a nuestros clientes, no estamos de acuerdo con el Proyecto Ravne. La vigilancia que representa es completamente contraria a la ética de nuestra misión.”
“Algunos se preguntarán: ¿cómo podemos invitar a alguien con el pasado de Daniel a formar parte de nuestro equipo? Para nosotros, la respuesta es clara: estamos protegiendo a nuestros clientes.”
“Para hacer este trabajo eficazmente (para hacerlo, como pensamos, mejor que nadie en nuestra industria), hay que emplear todo el poder de nuestros adversarios. Los mejores porteros son los que se entrenan con los mejores delanteros. Alguien impregnado y experimentado en ofensa, como Daniel, puede ofrecer conocimientos sobre defensa que son difíciles, para no decir imposibles, de encontrar en otro sitio. Es por eso que son muchas las compañías de ciberseguridad que emplean talento con un pasado en el ejército o en el servicio de inteligencia.”
En resumen: ExpressVPN tiene plena confianza en Gericke y dice que sus sistemas están diseñados para que, incluso si quisiera, no tendría los permisos para hacer cambios en sus servidores VPN.
Pero no todo el mundo tiene esa confianza. Edward Snowden no se quedó callado en este tuit: “Si eres usuario de ExpressVPN, no deberías”.
If you’re an ExpressVPN customer, you shouldn’t be. https://t.co/l8us92W0BQ
— Edward Snowden (@Snowden) September 16, 2021
Pero no ofreció ningún tipo de explicación sobre por qué, citando solo el tuit de Joseph Menn: “El, por lo menos hasta ahora, CIO de ExpressVPN es uno de los tres antiguos agentes del servicio de inteligencia de Estados Unidos que han acordado en no luchar contra los cargos de haber ayudado ilegalmente a los EAU a hackear a otros. Te hace pensar”.
Así, ¿es seguro utilizar ExpressVPN?
La pregunta que debes hacerte antes de utilizar un servicio VPN es si confías en la compañía a quienes les estás dando tus datos.
Recuerda que una VPN redirige todo el tráfico de Internet de tu dispositivo (si no todo, como mínimo parte de él) a través de un servidor de Internet antes de llegar a su destino final.
Aunque está cifrado, eso es así solo hasta que llega al servidor. Es descifrado antes de ser enviado a Amazon, Netflix o cualquier página que visites.
Parte del tráfico seguirá cifrado porque lo habría sido de todas maneras, más allá de si usas una VPN o no, pero otra parte no. ¿Estás seguro de que tu proveedor de VPN no puede ver esa información, que no la almacena y que no la compartirá?
Es por eso que las auditorías externas son tan importantes y por qué los servicios que no han sido auditados te están pidiendo que pongas fe en que cumplirán su política de privacidad. Tendrás que confiar en su palabra.
Y eso nos lleva a otra pregunta: ¿por qué necesitas una VPN?
Si estás intentando ver un vídeo bloqueado, es posible que nada de eso te importe. No dependes de la política de privacidad de la VPN. Simplemente quieres ver Pokémon Journeys porque no está disponible en tu Netflix local.
Y en ese caso ExpressVPN cumplirá con su función, aunque a un precio más elevado que sus rivales. Pero además, funciona mejor que muchos de esos rivales a la hora de desbloquear contenido.
Por otro lado, si no quieres que tus datos caigan en manos malintencionadas, es mejor que te aseguras de que la VPN que utilizas es tan segura como aseguran.
Los proveedores de VPN suelen exagerar en sus afirmaciones. Es habitual ver que una VPN asegura que hará que seas anónimo online (no lo hará) y que es el más rápido y seguro del mercado.
Es por eso que merece la pena centrarse en esta parte de la política de privacidad de ExpressVPN: “Aunque pensamos que estos sistemas son sólidos, es importante entender que ninguna medida de seguridad de datos en el mundo puede ofrecer una protección del 100 %”.
Así, si queremos encontrar una respuesta rápida a todo esto, aquí la tenemos. Ninguna VPN puede ofrecer un 100 % de protección, incluido ExpressVPN. Quizás elijas seguir utilizándolo, quizás te decidas a cambiar a otro proveedor.
Recuerda que si tu vida depende de la privacidad y la seguridad de una VPN, difícilmente encontrarás un servicio para consumo que esté a la altura.
Artículo original publicado en Tech Advisor.