Redazione RHC : 22 agosto 2025 08:03
Los analistas de Citizen Lab han informado que más de 20 aplicaciones VPN en Google Play Store presentan graves problemas de seguridad que amenazan la privacidad de los usuarios y permiten el descifrado de los datos transmitidos. En total, estas aplicaciones se han descargado 972 millones de veces.
Los expertos afirman que los proveedores de VPN que distribuyen aplicaciones problemáticas están claramente vinculados entre sí, aunque afirman ser empresas independientes y utilizan diversos métodos para ocultar la verdad.
El informe de Citizen Lab se basa en información anterior. Una investigación encontró vínculos entre tres proveedores de VPN presuntamente con sede en Singapur: Innovative Connecting, Autumn Breeze y Lemon Clove. Todas estas empresas habían sido vinculadas previamente a un ciudadano chino, y los investigadores ahora han descubierto más solapamientos entre las aplicaciones, así como vínculos con otras aplicaciones de VPN y sus desarrolladores.
Según el informe, ocho aplicaciones de VPN creadas por Innovative Connecting, Autumn Breeze y Lemon Clove comparten código, dependencias y contraseñas predefinidas, lo que podría permitir a los atacantes descifrar todo el tráfico de los usuarios. En conjunto, estas aplicaciones tienen más de 330 millones de instalaciones en Google Play Store.
Las tres empresas, anteriormente vinculadas a Qihoo 360 (una empresa china de ciberseguridad sancionada por Estados Unidos en 2020), ofrecen servicios de VPN y utilizan el protocolo Shadowsocks, diseñado originalmente para eludir el Gran Cortafuegos de China.
Los investigadores señalan que el protocolo utiliza cifrado simétrico y es vulnerable a diversos ataques debido al uso de cifrados obsoletos y contraseñas rígidas. Además, su interacción con el sistema de seguimiento de conexiones del sistema operativo permite a los atacantes tomar el control de las conexiones de las víctimas.
Ocho aplicaciones (Turbo VPN, Turbo VPN Lite, VPN Monster, VPN Proxy Master, VPN Proxy Master – Lite, Snap VPN, Robot VPN y SuperNet VPN) son compatibles con los protocolos IPsec y Shadowsocks, presentan importantes solapamientos de código y utilizan diversos mecanismos para eludir los controles de seguridad automáticos y evitarlos.
Todas las aplicaciones examinadas por los investigadores fueron vulnerables a la manipulación de la conexión y a los ataques de inyección de paquetes. Todas recopilan secretamente información de ubicación del usuario, utilizan un cifrado débil y contienen la misma contraseña predefinida para la configuración de Shadowsocks.
Usando esta contraseña, Citizen Lab descubrió que los tres proveedores de VPN que ofrecen estas aplicaciones utilizan la misma infraestructura, lo que confirma aún más su conexión.
Cabe destacar que otro grupo de proveedores (Matrix Mobile PTE LTD, ForeRaya Technology Limited, Wildlook Tech PTE LTD, Hong Kong Silence Technology Limited y Yolo Mobile Technology Limited) podría estar asociado con el trío mencionado, dado que utilizan protocolos idénticos, código similar y ofuscación.
Se descubrió que sus soluciones VPN, con más de 380 millones de descargas, A veces, son vulnerables a ataques de manipulación de la conexión, contienen contraseñas ofuscadas y se conectan al mismo conjunto de direcciones IP.
Otros dos proveedores, Fast Potato Pte. Ltd y Free Connected Limited, ofrecen clientes VPN que se basan en la misma implementación de protocolo propietario.
Según Citizen Lab, los problemas de seguridad y privacidad identificados en las aplicaciones estudiadas afectan a los usuarios de forma diferente. Por ejemplo, podrían vulnerar la confianza y la privacidad al recopilar subrepticiamente datos de ubicación y exponer a las personas al riesgo de interceptación y modificación del tráfico.
RedazioneEn un drástico cambio de rumbo, Nepal ha levantado el bloqueo nacional de las redes sociales impuesto la semana pasada después de que provocara protestas masivas de jóvenes y causara al menos 19 mu...
La Dark Web es una parte de internet a la que no se puede acceder con navegadores estándar (Chrome, Firefox, Edge). Para acceder a ella, se necesitan herramientas específicas como el navegador Tor, ...
El equipo de Darklab, la comunidad de expertos en inteligencia de amenazas de Red Hot Cyber, ha identificado un anuncio en el mercado de la dark web «Tor Amazon», la contraparte criminal del popular...
La Conferencia Red Hot Cyber se ha convertido en un evento habitual para la comunidad Red Hot Cyber y para cualquier persona que trabaje o esté interesada en el mundo de las tecnologías digitales y ...
El lanzamiento de Hexstrike-AI marca un punto de inflexión en el panorama de la ciberseguridad. El framework, considerado una herramienta de última generación para equipos rojos e investigadores, e...
