iCloud Private Relay o Clouflare Warp

Buenas, esta semana Apple ha lanzado un servicio que en principio nos ayuda a mantener la privacidad de nuestras conexiones a Internet, sin embargo hay una serie de elementos que se deben destacar para entender mejor el contexto en el que se mueve esta solución.

Primero que todo, que características tiene una VPN...

  • Navegación ecriptada
  • Navegar cambiando la ubicación geográfica, por tanto se puede saltar el bloqueo asociado a la geolocalización
  • Navegación anónima basada en que la conexión se realiza desde el servidor que nos da la VPN
  • Evitar los bloqueos asociado a la geolocalización,  por tanto podemos ver stream no disponible en nuestro país o consultar periódicos bloqueados
Bien de todos estos puntos, podemos indicar que ni ZeroTier  ni Cloudflare WARP  son servicios VPN y tampoco lo es el nuevo servicio iCloud Private Relay de Apple.
En el caso de Cloudflare el objetivo del servicio es claro desde sus inicios, pero comparándoles en una tabla tendríamos:


Servicio 

ZeroTier

iCloud Private Relay

Cloudflare WARP

Navegación encriptada

Sólo entre los que participan de la red

SI

SI

Cambiar Ubicación

Entre nodos

NO

NO

Navegación anónima 

NO

SI

Sólo trafico encriptado

Aplicaciones disponibles

Cualquier aplicación que usemos

Sólo si usamos Safari

Cualquiera aplicación

Servidores Intermedios

NO, conexión P2P

SI

SI


De esta tabla nos queda claro quien compara con quien, así sólo podemos comparar Cloudflare WARP con iCloud Private Relay. En este caso el punto que las diferencia es su uso, ya que la solución de Cloudflare se aplica a TODO el trafico generado en nuestro dispositivo (movil u ordenador), mientras que la de Apple sólo lo hace si navegamos con Safari.

Ambos servicios basan el anonimato en que envían nuestra navegación a un segundo operador, que en el caso de Apple no se ha confirmado quién será, mientras que en el caso de Cloudflare sólo se protege el tráfico de internet, de cualquier sistema de rastreo de datos, pero no se oculta la identidad de la IP o la ubicación.

Por tanto, desde el punto de vista de privacidad la solución de Apple y la de Cloudflare son correctas porque aseguran el trafico de nuestros datos, pero en el caso de Cloudflare no elimina la información sobre quienes somos (IP) ni de donde venimos (la geolocalización a partir de la IP).

Por cierto, el servicio de pago Cloudflare WARP + se diferencia del normal en que los paquetes son enlutados internamente empleando los aceleradores de Cloudflare y asi mejoramos el rendimiento de la conexión.

¿Y que pasa con nuestros datos?

En Cloudflare estan sujetos a un sistema de auditorías externas que muestran que nuestros datos de navegación son eliminados siguiendo las normas ya descritas para el servicio DNS 1.1.1.1.
Por otro lado, en el caso de Apple no se sabe ni quien es el servicio intermediario ni que ocurre con los registros de IP de las conexiones, podemos suponer que nada se registra y lo que se registre se elimina.
Se sospecha que los servidores detrás de los servicios de iCloud Private Relay son los de Cloudflare, por lo que el rendimiento y seguridad estaría garantizado por ellos.

Ninguno de los servicios son realmente VPN, pero intentan solucionar el problema de la privacidad de las conexiones, especialmente cuando estamos usando redes WIFI que no controlamos nosotros, de forma que con estas soluciones encintamos las peticiones.

"Al navegar con Safari, Private Relay garantiza que todo el tráfico que sale del dispositivo de un usuario esté encriptado, de modo que nadie entre el usuario y el sitio web que está visitando pueda acceder y leerlo, ni siquiera Apple o el proveedor de red del usuario. Luego, todas las solicitudes del usuario se envían a través de dos retransmisores de Internet separados. El primero asigna al usuario una dirección IP anónima que se asigna a su región, pero no a su ubicación real. El segundo descifra la dirección web que quieren visitar y la reenvía a su destino. Esta separación de información protege la privacidad del usuario porque ninguna entidad puede identificar tanto quién es un usuario como qué sitios visita."



En el caso de ZeroTier, es diferente pues en realidad estamos teniendo acceso a otra red, la de casa o la oficina. Lo que tendríamos que hacer es desde una red wifi externa conectarnos a nuestra red ZeroTier y desde ahí conectar vía RDP o VNC a un ordenador que estuviera en nuestra red de casa o de la empresa. El tráfico esta encriptado punto a punto y la seguridad ya se basa en la conexión desde casa o empresa. En ningún caso tenemos una conexión anónima.

Por último sólo recordaros que al usar una VPN, TODO el tráfico viaja a través del servidor de la empresa que nos da el servicio y esto es muy importante pues esa empresa debe de ser de nuestra completa confianza, ya que es la que "vé" todo el tráfico que generamos, por eso las VPN gratuitas no son recomendables ya que el precio son nuestros datos y aún asi, las de pago deben de ser de empresas que muestren auditorias periódicas de seguridad que nos garanticen el borrado de logs y que no "miran" nuestros datos.

Buenos con tanto ruido me pareció interesante tratar el tema pues la solución de Apple esta muy bien si pudiera usarse para todas las aplicaciones y no solo safari.

Saludos
Pedro