Malware y vulnerabilidades hallados en VPN gratuitas
Una de cada cinco aplicaciones VPN gratuitas de las que conforman el top 150 en la tienda Google Play Store han sido catalogadas como «potenciales fuentes de malware» mientras una cuarta parte de ellas tienen problemas de privacidad -como los conocidos VPN leaks- que podrían exponer las peticiones realizadas a los proveedores de servicios de internet.
Es lo que se extrae del informe de Simon Migliano, director de investigación de Metric Labs. Dicha empresa mantiene el servicio conocido como Top10VPN (un servicio de estudio y comparativa). Estas aplicaciones habrían sido instaladas en un total de 260 millones de dispositivos.
Aprende más – ¿Qué es y como funciona una VPN?
Problemas de privacidad y malware en las principales apps de VPN
El estudio comprende un índice de riesgo con el fin de guiar a los usuarios y hacerles entender los peligros a los que se exponen cuando instalan una VPN gratuita en su teléfono. No todo son ventajas. Y no me cansaré de repetirlo: el gratis total no existe, o pagas con dinero o pagas con otra cosa, como tus datos y privacidad.
Según dicho informe, una de cada cinco aplicaciones de red privada virtual probadas (en total se han puesto a prueba 27) ha sido cataloagada como potencial fuente de malware mediante análisis en Virustotal. Y lo que es peor, un 25% de estas aplicaciones fallan a la privacidad en lo que se conoce como VPN leaks.
Un DNS leak o filtrado de DNS ocurre cuando el servicio de red no consigue forzar a las solicitudes del dispositivo a pasar a través de un túnel cifrado hacia sus propios servidores, permitiendo que las peticiones se hagan directamente a través de los servidores DNS predefinidos para el terminal del usuario.
Entorno de pruebas
Utilizando la misma conexión VPN los investigadores realizaron diversos test a través de browserleaks, para después comparar esos valores con los obtenidos en el mismo sitio web pero sin utilizar ninguna VPN. Estos resultados pueden descargarse en un PDF aparte en su estudio.
En el informe se deja clara la metodología de pruebas empleada para evaluar nada menos que 150 aplicaciones y las conexiones realizadas por ellas, gracias a la utilidad Netalyzr de ICSI .
Listado de vulnerabilidades encontradas
A continuación una tabla donde se puede ver como las principales VPN en cuanto a número de descargas cuentan con uno o más problemas de privacidad o seguridad para el usuario final:
| Aplicación | Permisos de riesgo | DNS Leak | Funciones de riesgo | Malware |
| Hotspot Shield Free (50M) |
Detectado | No | Detectado | No |
| SuperVPN (50M) |
Detectado | Si | Detectado | No |
| Hi VPN (10M) |
Detectado | Si | Detectado | No |
| Hotspot Shield Basic (10M) |
Detectado | No | No Detectado | No |
| Psiphon Pro (10M) |
Detectado | No | Detectado | No |
| Turbo VPN (10M) |
No Detectado | Si | No Detectado | No |
| VPN Master (10M) |
No Detectado | Si | Detectado | No |
| Snap VPN (10M) |
Detectado | Si | Detectado | No |
| Hola (10M) |
Detectado | Si | Detectado | No |
| SpeedVPN (10M) |
Detectado | No | Detectado | No |
Detalle según tipo de amenaza
En el informe se habla de permisos intrusivos y también de funciones que podrían exponer la privacidad, algo que ocurre en un 85% de aplicaciones.
- Seguimiento de ubicación: 25%
- Acceso a estado de dispositivo: 38%
- Seguimiento de la última ubicación del dispositivo conocida: 57%
- Uso de cámara y micrófono en un número reducido de apps
Respecto a si los problemas de privacidad existirían o no en las versiones pagadas de estos programas, el investigador no puede confirmar o desmentir pero dice, con bastante lógica, que dado que la diferencia entre una app VPN gratuita y una pagada es el límite de velocidad o ancho de banda, en casi todos los casos persistirán estos problemas porque son de diseño (permisos desproporcionados, DNS leaks, etcétera).
Conclusiones
Magliano, autor además de un estudio anterior sobre VPN en iOS y Android (en la que no salen bien paradas tampoco) ha puesto sobre la mesa algo que debería hacernos reflexionar antes de instalar. Revisa siempre los permisos, la confiabilidad del editor de tus apps o verifica su integridad. Además, piensa que lo gratis no suele serlo y recuerda leer las condiciones de uso y privacidad de estos servicios…ahí suele estar el huevo de pascua.
Categories
deweloper View All
Trabajo como consultor de ciberseguridad y me gusta lo que hago. Aficionado a la informática / tecnología en general, me gusta compartir con la gente lo poco que sé. También soy aficionado al deporte y los videojuegos.
Como bien dices, nadie da duros a cuatro pesetas y en según qué campos, es “necesario” gastar un poco de dinero y ganar en seguridad y privacidad.
Hablas con la gente y les expones los problemas que conllevan hoy en día los servicios y aplicaciones gratuitas y se le queda a uno una cara de bobo cuando te contestan que no les preocupa, que no tienen nada que esconder. En cambio, si les planteas situaciones que se dan en la vida digital, pero trasladadas al mundo real, entonces actuarían de otra manera (más lógica); y sin embargo continúan con las malas prácticas por no gastar 2 o 3 euros al mes. Eso sí, gastarse 5 o 6 euros en cervezas o vino cada fin de semana, se lo ven hecho. Cuestión de prioridades.
Yo he dado por perdida la batalla de la concienciación. Ni siquiera en el entorno familiar te hacen caso. Eso sí, cuando les surge un problema entonces te llaman y te piden ansiosamente que les saques del atolladero o les indiques como actuar. Así que me limito a segurar todo lo que puedo, y me permiten mis conocimientos, mi red y dispositivos a parte de aplicar sentido común a muchas de las actividades desarrolladas en Internet.
Salu2.
No puedo estar más de acuerdo porque mi diagnóstico es el mismo. Es imposible ayudar a quien no quiere escuchar. Saludos
Alejandro estoy formando un blog exclusivo para Android y quería saber si podría compartir o extraer parte de tu contenido, a ser posible nombrandote en esto de las vpn ya que veo que la gente confunde privacidad con seguridad y si bien en algunas de pago pues vas seguro pero tu privacidad queda nula al pagar con tarjeta por ejemplo y quiero desmentir lo del anonimato total cosa que veo casi inexistente de nada sirve un vpn infalible accediendo a redes sociales por medio de su app y solo veo privacidad a costa de seguridad usando TOR Firefox con el plug in de chameleon configurado cambiando el agente de usuario mediante el virtual xposed con el framework activo y el módulo que cambia las ids del dispositivo Android en mi caso, espero tu opinión o respuesta, gracias
La palabra total no se suele usar en seguridad nunca, aunque se acerca algo más el modelo que planteas. En cuanto al contenido, no me importa mientras hagas un uso razonable y pongas algún enlace a la fuente original. Saludos.
Copie el enlace de tu blog buscaré ese enlace original y será incluido, gracias Alejandro
No hay de qué, suerte con tu blog 🙂
Soy nuevo en esto pero es que no encuentro ese enlace si es el enlace que lleva a tu blog así lo hice y dice es de Alejandro tal, estoy buscando como activar la radio cuando los usuarios entran y voy a preguntar a soporte como es porque ponga live o ponga # al reproductor de radio online tengo que darle al play 🙁 pero fue compartido y les lleva a tu blog)
Bien, no te preocupes y gracias
Por cierto, he visto el logo que te has currado en tu blog y debo decir que me encanta!