¡Cuando una VPN se convierte en espía! FreeVPN.One toma capturas de pantalla no autorizadas

Redazione RHC : 23 agosto 2025 11:31

Los expertos de Koi Security advierten que el comportamiento de la popular extensión de Chrome FreeVPN.One ha cambiado recientemente. Ha comenzado a capturar capturas de pantalla secretas de la actividad de los usuarios y a transmitirlas a un servidor remoto.

«El caso de FreeVPN.One ilustra cómo un producto que protege la privacidad puede convertirse en una trampa», escribieron los investigadores.

«Los desarrolladores de la extensión están verificados, e incluso la Chrome Web Store la ha recomendado. Y aunque Chrome afirma comprobar la seguridad de las nuevas versiones de la extensión mediante análisis automático, revisiones manuales y monitorización de código malicioso y cambios de comportamiento, en realidad, ninguna de estas medidas ha sido eficaz. Este caso demuestra que, incluso con estas protecciones, las extensiones maliciosas pueden eludirlas y pone de manifiesto graves vulnerabilidades de seguridad en las principales tiendas.»

En el momento del informe de los investigadores, la extensión contaba con más de 100.000 instalaciones y aún estaba disponible en la Chrome Web Store.

Los expertos afirman que, tras la última actualización, FreeVPN.One comenzó a tomar capturas de pantalla en secreto aproximadamente un segundo después de cargar cada página. Las capturas de pantalla se envían a un servidor remoto (inicialmente se transmiten en texto sin cifrar y luego se cifran tras una actualización posterior).

Los investigadores afirman que el comportamiento de la extensión cambió en julio de 2025. Antes de esa fecha, los desarrolladores habían preparado el terreno con pequeñas actualizaciones que requerían permisos adicionales para acceder a todos los sitios e implementar scripts personalizados.

También fue por esta época que la extensión introdujo algún tipo de detección de amenazas basada en IA.

The Register solicitó a los desarrolladores de FreeVPN.one sus comentarios sobre la situación. Respondieron que su extensión «cumple totalmente con las políticas de Chrome Web Store y que cualquier función para tomar capturas de pantalla se describe en la política de privacidad». Agregaron: «Todos los datos recopilados se cifran y procesan según las prácticas estándar de las extensiones de navegador. Nos comprometemos con la transparencia y la privacidad del usuario, y le recomendamos leer nuestra documentación para obtener más información», afirmaron los desarrolladores.

En respuesta a las acusaciones de Koi Security, los creadores de FreeVPN.one declararon que las capturas de pantalla se toman como parte de la función de escaneo en segundo plano y solo «si el dominio parece sospechoso». La compañía también afirmó que las capturas de pantalla «no se guardan ni se utilizan», sino que solo se analizan brevemente para detectar posibles amenazas.

Los investigadores refutaron esta suposición al demostrar que se toman capturas de pantalla constantemente, incluso al visitar dominios confiables, incluido el de Google.

La descripción del producto menciona «detección avanzada de amenazas con IA» que se ejecuta en segundo plano y «monitorea constantemente los sitios web que visitas y los escanea visualmente si visitas una página sospechosa». Sin embargo, no especifica que «escaneo visual» signifique tomar capturas de pantalla constantemente y enviarlas a un servidor remoto sin el conocimiento del usuario.

Redazione
Red Hot Cyber's editorial team consists of a collection of individuals and anonymous sources who actively collaborate by providing advance information and news on cyber security and IT in general.

Lista degli articoli