VPN Android
VPN Android

Si eres de los que piensan que una VPN gratuita es mejor que nada cuando se trata de proteger tu información, tenemos malas noticias. Un estudio reciente ha puesto bajo la lupa a algunas de las aplicaciones más populares de Android. Los resultados arrojan que cientos de millones de usuarios están vulnerables a fallos que comprometen su privacidad.

De acuerdo con The Hacker News, investigadores de la Universidad de Michigan, la Universidad de Nuevo México y el IIT Delhi analizaron 281 de las VPN gratuitas más populares de la Play Store. Tras aplicar múltiples pruebas, los científicos encontraron que algunas de ellas son víctimas de errores básicos que cualquier aplicación de su tipo debería evitar por definición.

El hallazgo más grave afecta a cinco aplicaciones que descargan su archivo de configuración sin cifrar. Ese archivo le dice a la app a qué servidor debe conectarse, así que si viaja en texto plano, cualquier atacante en la misma red podría modificarlo y redirigir la conexión. Por ejemplo, si te conectas a una Wi-Fi pública usando una VPN, un hacker interceptaría tu conexión con facilidad y nunca te enterarías.

Las cinco aplicaciones afectadas son BambooVPN, VPN Pro, Free VPN, Hexa VPN y 101 VPN. Luego de que los investigadores les notificaran sobre los fallos, algunas de ellas se comprometieron a blindar la conexión moviendo los archivos a HTTPS. No obstante, una segunda prueba demostró que solo VPN Pro y Hexa VPN corrigieron el problema.

Las VPN gratuitas también te rastrean

Además de fallar en un tema tan básico como el cifrado de configuración, 29 aplicaciones dejan escapar tráfico fuera del túnel cifrado. De ellas, 24 filtran las consultas DNS que revelan qué páginas visita el usuario. Seis dejan salir tráfico de navegación completo sin protección y cuatro directamente no cifran nada, aunque se presenten como VPN funcionales.

Tal vez lo más irónico de todo es que mucha gente instala una VPN para proteger sus datos del rastreo publicitario. Los investigadores encontraron que 76 de estas aplicaciones envían el identificador de publicidad del dispositivo, ese código único que las empresas usan para seguirte de una app a otra. Eso es más que delicado sabiendo que más del 80% de las aplicaciones, 246 en total, se conectan con servidores conocidos de publicidad y rastreo.

Si lo anterior no te convence para que dejes de confiar en ellas, muchas comparten el modelo de tu móvil, la versión del sistema operativo y el tamaño de pantalla, información que combinada permite identificar un dispositivo de forma casi tan precisa como una huella dactilar. Una de las apps llegó incluso a enviar la ubicación GPS exacta del usuario.

Los investigadores también revisaron los archivos de configuración de 108 aplicaciones y solo una cumplía con todas las buenas prácticas de seguridad evaluadas. Cerca del 89% dependía de un único método de autenticación en lugar de combinar varios, y casi una de cada cinco usaba cifrados obsoletos con vulnerabilidades documentadas desde hace años.

Foto: Dan Nelson (Unsplash)

¿Cómo puedes saber si una VPN gratuita está filtrando tu información?

Como usuario, lo más difícil es que estos fallos son invisibles a simple vista, ya que no hay forma de detectarlos. La mejor defensa es desconfiar de las apps gratuitas cargadas de anuncios, y no dar por buena ninguna promesa sin verificarla primero.

Los investigadores revelaron que publicarán la herramienta MVPNalyzer de forma abierta, con su código fuente. Con ello, las tiendas de aplicaciones y reguladores podrán aplicar estas comprobaciones para exponer a aquellas VPN gratuitas que exponen los datos de sus usuarios.

Seguir leyendo: Cuidado: esa VPN gratuita de Android está filtrando tus datos sin que te des cuenta

Ver fuente

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *