Saltar al contenido
Anuncios

Malware y vulnerabilidades hallados en VPN gratuitas

malware y vulnerabilidades hallados en vpn gratuitas

Una de cada cinco aplicaciones VPN gratuitas de las que conforman el top 150 en la tienda Google Play Store han sido catalogadas como “potenciales fuentes de malware” mientras una cuarta parte de ellas tienen problemas de privacidad -como los conocidos VPN leaks- que podrían exponer las peticiones realizadas a los proveedores de servicios de internet.

Es lo que se extrae del informe de Simon Migliano, director de investigación de Metric Labs. Dicha empresa mantiene el servicio conocido como Top10VPN (un servicio de estudio y comparativa). Estas aplicaciones habrían sido instaladas en un total de 260 millones de dispositivos.

Aprende más¿Qué es y como funciona una VPN?

Problemas de privacidad y malware en las principales apps de VPN

El estudio comprende un índice de riesgo con el fin de guiar a los usuarios y hacerles entender los peligros a los que se exponen cuando instalan una VPN gratuita en su teléfono. No todo son ventajas. Y no me cansaré de repetirlo: el gratis total no existe, o pagas con dinero o pagas con otra cosa, como tus datos y privacidad.

Según dicho informe, una de cada cinco aplicaciones de red privada virtual probadas (en total se han puesto a prueba 27) ha sido cataloagada como potencial fuente de malware mediante análisis en Virustotal. Y lo que es peor, un 25% de estas aplicaciones fallan a la privacidad en lo que se conoce como VPN leaks.

Un DNS leak o filtrado de DNS ocurre cuando el servicio de red no consigue forzar a las solicitudes del dispositivo a pasar a través de un túnel cifrado hacia sus propios servidores, permitiendo que las peticiones se hagan directamente a través de los servidores DNS predefinidos para el terminal del usuario.

Entorno de pruebas

Utilizando la misma conexión VPN los investigadores realizaron diversos test a través de browserleaks, para después comparar esos valores con los obtenidos en el mismo sitio web pero sin utilizar ninguna VPN. Estos resultados pueden descargarse en un PDF aparte en su estudio.

En el informe se deja clara la metodología de pruebas empleada para evaluar nada menos que 150 aplicaciones y las conexiones realizadas por ellas, gracias a la utilidad Netalyzr de ICSI .

Listado de vulnerabilidades encontradas

A continuación una tabla donde se puede ver como las principales VPN en cuanto a número de descargas cuentan con uno o más problemas de privacidad o seguridad para el usuario final:

Aplicación Permisos de riesgo DNS Leak Funciones de riesgo Malware
Hotspot Shield Free
(50M)
Detectado No Detectado No
SuperVPN
(50M)
Detectado Si Detectado No
Hi VPN
(10M)
Detectado Si Detectado No
Hotspot Shield Basic
(10M)
Detectado No No Detectado No
Psiphon Pro
(10M)
Detectado No Detectado No
Turbo VPN
(10M)
No Detectado Si No Detectado No
VPN Master
(10M)
No Detectado Si Detectado No
Snap VPN
(10M)
Detectado Si Detectado No
Hola
(10M)
Detectado Si Detectado No
SpeedVPN
(10M)
Detectado No Detectado No

Detalle según tipo de amenaza

En el informe se habla de permisos intrusivos y también de funciones que podrían exponer la privacidad, algo que ocurre en un 85% de aplicaciones.

  • Seguimiento de ubicación: 25%
  • Acceso a estado de dispositivo: 38%
  • Seguimiento de la última ubicación del dispositivo conocida: 57%
  • Uso de cámara y micrófono en un número reducido de apps

Respecto a si los problemas de privacidad existirían o no en las versiones pagadas de estos programas, el investigador no puede confirmar o desmentir pero dice, con bastante lógica, que dado que la diferencia entre una app VPN gratuita y una pagada es el límite de velocidad o ancho de banda, en casi todos los casos persistirán estos problemas porque son de diseño (permisos desproporcionados, DNS leaks, etcétera).

Conclusiones

Magliano, autor además de un estudio anterior sobre VPN en iOS y Android (en la que no salen bien paradas tampoco) ha puesto sobre la mesa algo que debería hacernos reflexionar antes de instalar. Revisa siempre los permisos, la confiabilidad del editor de tus apps o verifica su integridad. Además, piensa que lo gratis no suele serlo y recuerda leer las condiciones de uso y privacidad de estos servicios…ahí suele estar el huevo de pascua.

Anuncios

Alejandro Ver todo

Trabajo como consultor de ciberseguridad y me gusta lo que hago. Aficionado a la informática / tecnología en general, me gusta compartir con la gente lo poco que sé. También soy aficionado al deporte y los videojuegos.

2 comentarios sobre “Malware y vulnerabilidades hallados en VPN gratuitas Deja un comentario

  1. Como bien dices, nadie da duros a cuatro pesetas y en según qué campos, es “necesario” gastar un poco de dinero y ganar en seguridad y privacidad.
    Hablas con la gente y les expones los problemas que conllevan hoy en día los servicios y aplicaciones gratuitas y se le queda a uno una cara de bobo cuando te contestan que no les preocupa, que no tienen nada que esconder. En cambio, si les planteas situaciones que se dan en la vida digital, pero trasladadas al mundo real, entonces actuarían de otra manera (más lógica); y sin embargo continúan con las malas prácticas por no gastar 2 o 3 euros al mes. Eso sí, gastarse 5 o 6 euros en cervezas o vino cada fin de semana, se lo ven hecho. Cuestión de prioridades.
    Yo he dado por perdida la batalla de la concienciación. Ni siquiera en el entorno familiar te hacen caso. Eso sí, cuando les surge un problema entonces te llaman y te piden ansiosamente que les saques del atolladero o les indiques como actuar. Así que me limito a segurar todo lo que puedo, y me permiten mis conocimientos, mi red y dispositivos a parte de aplicar sentido común a muchas de las actividades desarrolladas en Internet.

    Salu2.

    Le gusta a 1 persona

Deja tu comentario (puedes hacerlo de forma anónima)

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.

A %d blogueros les gusta esto: