El trabajo que tengo requiere que tengamos computadoras en casa. Hace unos años, todos hicieron que instalaran una VPN en las computadoras personales de nuestra casa (la compañía no nos proporcionó estas computadoras). ¿Tienes acceso a nuestra información personal? ¿Es esto legal?
No responderé a la pregunta legal ya que varía de una ubicación a otra, pero diré que muchas empresas en los EE. UU. y la UE se están mudando a un modelo de dispositivo (BYOD), donde los empleados suministran su propio equipo. . Ellos no estarían haciendo eso si no fuera legal. Los empleados que usan su propio equipo para acceder a los recursos de la empresa no son nada nuevo.
Las respuestas a sus otras preguntas están parcialmente determinadas por el software VPN. Si el software es estándar, el software de un proveedor externo, como Checkpoint Securemote o el cliente VPN de Cisco, entonces el software en sí es bastante seguro, está bien escrito, está probado para detectar vulnerabilidades y no tiene ninguna funcionalidad que espíe su computadora.
La consideración final depende de qué tan segura esté su computadora. Una VPN es bidireccional, por lo que si puede conectarse a los sistemas de la empresa, ellos pueden conectarse a la suya. Si su computadora está bien bloqueada, por ejemplo, utilizando los estándares del NIST, y su sistema operativo y sus aplicaciones están actualizados con un buen producto AV instalado, entonces debería estar bastante seguro. Si está compartiendo unidades sin requerir credenciales sólidas, tiene contraseñas deficientes o cuentas de invitado, por ejemplo, sería fácil para las personas acceder a los datos en su computadora si las reglas de dispositivos VPN de su empleador lo permiten.
Cuando la VPN está activada, puede considerar que su computadora es parte de la red de la empresa. Esto significa que puede acceder a los servicios proporcionados por la red de su empresa (computadora remota, impresoras, ...).
Si su máquina proporciona servicios a través de la red, estos servicios también están disponibles para cualquier persona que se encuentre en la red de la empresa. También pueden ser miembros en su propia VPN.
Evitar esto se puede lograr de muchas maneras:
Además de esto, no está libre de vulnerabilidades en el software de VPN o incluso en un malicioso humano que le proporciona un software de VPN con un cargo por virus, diseñado para permitirle espiar. En algún momento, tiene que haber confianza.
En la parte legal, esto depende tanto de la ubicación que no puedo entrar en esto.
Respecto a la cuestión de "es seguro", personalmente evitaría proporcionar acceso VPN para computadora que no administro completamente. La empresa tiene más que perder que tú.
Las conexiones VPN son como cualquier otra conexión de red. Permiten que los paquetes fluyan en ambas direcciones. Si es posible o no que se establezca una "nueva" conexión (por ejemplo, un TCP SYN para ser enviado) en una dirección particular es responsabilidad de las reglas de filtrado de paquetes.
¿Su cliente VPN incluye sus propios filtros de paquetes? ¿Crea una interfaz de pseudo-red que puede estar sujeta al filtrado de paquetes integrado en su sistema operativo u otro software de firewall? Estas son las preguntas que debe considerar para responder su pregunta. Algunos clientes de VPN de código cerrado eluden totalmente los filtros de paquetes de todo el sistema, y usted está a la merced de sus parámetros operativos, que en algunos casos se administran desde el servidor VPN.
No ha dicho si instaló un cliente o un servidor. Si instaló un servidor (lo cual no tiene sentido) y ellos conocen las credenciales, entonces sí, pueden acceder a su computadora.
¿Legal? Si conocen las credenciales, eso significa que usted se las dio, por lo que no infringen ninguna ley.
Esto es como la tendencia actual de algunas compañías que piden a los empleados su contraseña de Facebook. Si eres tan estúpido de hacer tal acción, es tu culpa.
Lea otras preguntas en las etiquetas vpn