Cosa protegge realmente una VPN (e cosa no)

Cosa protegge realmente una VPN (e cosa no)

Una VPN è uno degli strumenti per la privacy più consigliati, e a ragione. Ma il marketing delle VPN spesso promette troppo, lasciando gli utenti con un falso senso di sicurezza. Capire da cosa protegge realmente una VPN e dove smette di essere utile è davvero importante per chiunque stia costruendo un sistema di sicurezza personale.

In breve: una VPN è eccellente per un insieme specifico e limitato di compiti. Al di fuori di questi, non fa quasi nulla per proteggerti dagli hacker.

Da cosa ti difende realmente una VPN

Una VPN funziona crittografando il tuo traffico internet e instradandolo attraverso un server che maschera il tuo vero indirizzo IP. Queste due funzioni affrontano direttamente diverse minacce reali.

L'intercettazione su Wi-Fi pubblici è il caso d'uso più pratico per la maggior parte delle persone. Quando ti connetti a una rete non protetta in un bar, in aeroporto o in hotel, altri utenti sulla stessa rete possono potenzialmente intercettare il traffico non crittografato. Una VPN crittografa quel traffico prima che lasci il tuo dispositivo, rendendolo illeggibile a chiunque spii sulla rete locale. Questo aspetto è meno rilevante rispetto al passato, dato che oggi la maggior parte dei siti web utilizza HTTPS per impostazione predefinita, ma esistono ancora scenari in cui dati non crittografati transitano su reti pubbliche.

L'esposizione dell'indirizzo IP è un altro ambito in cui le VPN offrono una protezione reale. Il tuo indirizzo IP può rivelare la tua posizione fisica approssimativa e, in alcuni casi, essere usato per identificarti tra diversi servizi. Mascherarlo con l'IP di un server VPN limita ciò che inserzionisti, siti web e alcuni attori malevoli possono dedurre su di te.

Il targeting DDoS è una minaccia meno comune ma reale, in particolare per giocatori, streamer e creatori di contenuti. Un attacco di tipo distributed denial-of-service inonda l'indirizzo IP del bersaglio con traffico spazzatura per mandarlo offline. Se il tuo IP reale è nascosto dietro un server VPN, gli aggressori non possono colpire la tua connessione effettiva. È il server VPN ad assorbire l'inondazione.

Si tratta di protezioni reali. Semplicemente, non sono complete.

Dove una VPN non basta

Una VPN non può ispezionare, bloccare o filtrare ciò che scegli di fare con la tua connessione. Questo significa che intere categorie di attacchi la aggirano completamente.

Il phishing è forse la lacuna più importante. Se clicchi su un link malevolo in un'email e inserisci le tue credenziali su una pagina di login falsa, la VPN non fa nulla per fermarlo. Il tunnel crittografato ti consegna fedelmente al sito fraudolento. L'attacco va a segno comunque.

Il malware funziona allo stesso modo. Se scarichi ed esegui un file dannoso, la VPN non ha alcun meccanismo per rilevarlo o bloccarlo. Il malware opera a livello applicativo, ben al di sopra della protezione a livello di rete offerta dalla VPN.

La compromissione degli account tramite credential stuffing, riutilizzo delle password o dirottamento di sessione è altrettanto ininfluente. Se un aggressore ottiene il tuo nome utente e la password da un database violato, può accedere ai tuoi account da qualsiasi parte. La VPN non protegge quelle credenziali.

Gli exploit zero-day che prendono di mira il browser, il sistema operativo o le applicazioni non hanno nulla a che fare con il tuo indirizzo IP o la crittografia del traffico di rete. Sfruttano le vulnerabilità del software stesso.

Questo schema si estende anche alle minacce sofisticate. Come illustrato nell'analisi recente degli attacchi APT a livello statale di Singapore, gli attori delle minacce persistenti avanzate utilizzano tecniche come lo spear phishing, la compromissione della catena di fornitura e lo sfruttamento degli endpoint che una VPN semplicemente non è stata progettata per contrastare. Gli avversari a livello di stato-nazione non hanno bisogno di intercettare il tuo traffico Wi-Fi.

Lo stack di sicurezza complementare

Poiché una VPN copre le minacce a livello di rete e quasi nient'altro, una sicurezza seria richiede l'aggiunta di ulteriori strumenti a più livelli.

Un gestore di password con password uniche e generate casualmente per ciascun account neutralizza gli attacchi di credential stuffing. Le password riutilizzate sono uno dei vettori più comuni di compromissione degli account, e nessuna VPN affronta questo problema.

L'autenticazione a più fattori (MFA) aggiunge una seconda barriera anche se le credenziali vengono rubate. Le chiavi di sicurezza hardware offrono la forma più forte di MFA, anche se le app di autenticazione rappresentano un netto miglioramento rispetto ai codici via SMS.

Il software di protezione degli endpoint gestisce malware, ransomware e alcuni tentativi di exploit a livello di dispositivo. Combinato con il mantenimento del sistema operativo e delle applicazioni aggiornati e con le ultime patch, affronta la superficie di vulnerabilità del software che le VPN non possono toccare.

Abitudini di posta elettronica resilienti al phishing ed estensioni del browser che segnalano URL sospetti riducono l'efficacia degli attacchi di ingegneria sociale. Allenarsi a esaminare i link prima di cliccare è, in modo poco affascinante, una delle misure di sicurezza più efficaci a disposizione.

Vale la pena notare che nemmeno le applicazioni di messaggistica crittografate sono immuni dalla compromissione a livello di utente. Un recente approfondimento sul perché gli utenti di Signal vengono hackerati nonostante la forte crittografia dell'app illustra chiaramente il punto: gli aggressori prendono di mira la persona, il dispositivo o le impostazioni dell'account anziché il protocollo di crittografia stesso. Anche in quei casi una VPN non sarebbe stata d'aiuto.

Un quadro pratico dei casi d'uso

Piuttosto che chiedersi se si debba usare una VPN, la domanda migliore è quando serve e quando è necessario ricorrere a qualcos'altro.

Usa la tua VPN quando ti connetti a reti Wi-Fi pubbliche o non attendibili, quando vuoi limitare il tracciamento e la profilazione basati sull'IP, quando il tuo indirizzo IP reale potrebbe esporre la tua posizione fisica a una parte ostile, o quando vuoi ridurre il rischio di attacchi DDoS mirati nei giochi online o nelle dirette streaming.

Ricorri ad altri strumenti quando valuti un link ricevuto via email prima di cliccarlo (usa uno scanner di link o naviga direttamente al sito), quando stai verificando se i tuoi account sono sicuri (usa un gestore di password e attiva l'MFA), quando desideri proteggerti dal malware (usa un software di sicurezza per endpoint e mantieni i sistemi aggiornati), o quando hai a che fare con un attacco mirato da parte di un avversario sofisticato che ti ha già identificato come bersaglio.

Cosa significa questo per te

Una VPN è uno strumento utile e legittimo. Ha il suo posto in un sistema di sicurezza personale, ma non dovrebbe essere l'unico elemento di quel sistema, e non ci si dovrebbe aspettare che svolga compiti per i quali non è mai stata progettata.

Le minacce che causano i danni più concreti nel mondo reale – phishing, malware, furto di account e sfruttamento mirato – operano al di sopra del livello di rete. La crittografia e il mascheramento dell'IP di una VPN sono irrilevanti per tutte.

L'approccio più efficace è stratificato: usa una VPN per gli scenari specifici in cui aiuta, e utilizza strumenti dedicati per le minacce che non può affrontare. Capire quale strumento gestisce quale minaccia è il fondamento di una postura di sicurezza che regga davvero sotto pressione. Esplorare scenari di attacco reali specifici è un buon passo successivo per mettere in pratica questo schema.