Ya deje el sombrero de aluminio que esto se vuelve cansón, ninguna ISP mal intencionada le puede robar su cuenta de Paypal por la simple y llana razón que la autenticación con Paypal se hace a través del protocolo TLS el cual es cifrado. Ya esto lo había explicado anteriormente algunos meses atrás en este mismo hilo. Más rápido y más facil se la roban con un keylogger instalado en su computador o a través de un correo de phishing.
Lo más que puede saber su ISP son los sitios a los que visita, y eso que si usted utiliza un DNS diferente al de ellos, tendrían que interceptar tráfico DNS o interceptar cabeceras HTTP (y esto último solamente aplicaría para HTTP y no para HTTPS).
Como he dicho anteriormente, si no quiere que el ISP no vea a quién sabe qué sitios se mete usted bajo ninguna circunstancia, entonces use un VPN... pero sepa que su proveedor de VPN sí tendrá el pleno conocimiento de qué sitios usted visita. Claro, el proveedor de VPN dice que no guardan logs... pero quién sabe si lo hacen.
En fin, termino con lo que dije hace algunos meses también, un usuario común y corriente no se debería preocupar por este tipo de cosas, está bien que quieran ser responsables y aprender de seguridad informática pero tampoco lleguen a extremos estúpidos de paranoia.
Pues yo no me burlaría de alguien que se atreve a hacer una pregunta de este tipo conspiranoíca, pues....:
Para el tema del VPN se puede usar uno descentralizado como TOR por ejemplo, pero de ello hablaré más tarde. Empecemos con lo del famoso envenenamiento de DNS y lo supremamente fácil que es mitigarlo.
Para evitar un ataque por envenenamiento de DNS a nivel de ISP se puede utilizar un servicio de DNS que no utilice BIND sino DNSSEC, como por ejemplo los servidores de DNS de google (8.8.8.8 y 8.8.4.4 para IPV4).
La encriptación básica del navegador debería ser suficiente si y sólo si el sitio que visitas tiene validación extendida (es más allá del simple candadito en el navegador, éstos generan un certificado de seguridad más exigente), cuando no tenemos validación extendida (en el caso de Facebook por ejemplo) es buena idea chequear la huella SHA-1 con otro servicio que te garantice un canal seguro, por ejemplo:
https://www.grc.com/fingerprints.htm aquí se utiliza EV para chequear sitios como Facebook que no lo tienen.
En esta página (que si tiene certificados EV) se introduce la web que se quiere verificar y se contrasta contra la huella digital del certificado digital de la página que se quiere visitar. En el caso de Facebook tenemos una huella digital por SHA-1:
BD:25:8C:1F:62:A4:A6....... esta misma debe salir en el certificado digital del navegador.
Para el caso de navegación si juanitapregunta teme que el ISP la esté espiando o inclusive a nivel de su modem que se la estén clavando (de una forma no sana), y que también pudieran haber comprometido a la VPN; pues más bien utilizaría TOR, éste utiliza una red con enrutamiento descentralizado encriptado por capas (de allí el término Onion routing) y aleatorio lo que no le permitiría a nadie predecir por dónde voy a conectarme ni interceptar los nodos de salida.
La configuración del navegador de TOR (es un firefox "enchulado") es muy restrictiva frente a seguridad y ejecución de scripts, lo que es muy interesante en este caso porqué limitaría la aplicación de un ataque usando BEEF (que para mí es la opción más elegante en todo este rollo de modems, ISP's, DNS's y clavadas en general).
http://beefproject.com/ actúa directamente a nivel de navegador explotándose por medio de cualquier contenido basura que nos llegue por medio de redes sociales donde el 99% de las personas hacen clic sin fijarse en nada de lo que están haciendo, es posible anclar diferentes módulos de control al computador mediante las funciones legítimas del navegador mismo!.. es una belleza.
Aquí es donde nuevamente vuelvo a TOR: las restricciones de seguridad del navegador "endurecido" de TOR impiden la instalación de este tipo de módulos en los que se basa BEEF.
Espero no haber enredado más las cosas para Juanitapregunta... y eso que no hemos hablado de la plataforma PUMA:
https://www.elespectador.com/noticias/investigacion/el-software-espia-de-policia-articulo-571980
https://www.las2orillas.co/puma-la-agencia-vigila-todo-lo-hacemos-los-colombianos-en-internet/
Juanita: ¿Te has preguntado qué alcance tiene tu proveedor de telefonía celular instalando "actualizaciones" en tu equipo movil? ¿qué tal si bajan una "actualización" al movil que integre una nueva autoridad certificadora (CA) al banco de certificados del equipo? ¿qué tal si esa nueva CA, es el proveedor de servicios móviles?.. o los amigos de la Ponal que trabajan en PUMA?
Para mí ese sería el primer paso para introducir el equipo de Juanitapregunta a la vigilancia de una plataforma como la de PUMA, especialmente con el muy nulo control que hay de lo que sucede allí, de verdad, basicamente pueden introducir tu número de telefono y el operador de celular muestra los mensajes de téxto, llamadas, los numeros de los móviles que están alrededor, los polís se reíen un rato de las babosadas que le dice uno a esa vieja que le está echando los perros y no queda rastro.
P.S. será que los amigos de la plataforma PUMA están colgados del NAP-Colombia (
http://nap.co/html/faq.php). Aunque eso no les otorga directamente ningún acceso hasta que hayan comprometido la capa validación y encriptación del usuario, aquí es donde entra al juego el reemplazo de una CA en un equipo móvil, por ejemplo.
Sólo pasaba por aquí....