Redazione RHC : 9 octubre 2025 07:32
Millones de personas usan VPN móviles para ocultar su tráfico, evitar bloqueos y navegar por internet de forma segura. Una investigación de Zimperium zLabs reveló que un número significativo de aplicaciones gratuitas no solo no ofrecen una protección eficaz, sino que también generan nuevos riesgos . El equipo analizó casi 800 VPN gratuitas para Android e iOS y observó un comportamiento consistente en muchas aplicaciones.
Ofrecen poca privacidad, requieren permisos innecesarios y peligrosos, filtran datos y utilizan código obsoleto. Con las políticas BYOD, esto ya no es algo común, sino una vulnerabilidad de seguridad corporativa , ya que incluso un cliente popular puede convertirse en un punto débil y filtrar datos confidenciales.
Una VPN debería cifrar el canal entre tu dispositivo y el servidor remoto . Esto oculta tu verdadera dirección IP y dificulta considerablemente la interceptación del tráfico. Idealmente, debería ser como una carta en un sobre cerrado, no como una postal. El problema es que algunas aplicaciones tienen grietas en el sobre, e incluso algunas son manipuladas durante el envío.
La observación más alarmante se refiere a las bibliotecas de terceros. Los desarrolladores siguen integrando componentes antiguos con errores críticos conocidos desde hace tiempo. Se descubrieron tres aplicaciones que contenían una compilación antigua de OpenSSL con la vulnerabilidad Heartbleed, identificada como CVE-2014-0160. Esta vulnerabilidad permite el acceso remoto a memoria y la exfiltración de claves de cifrado, contraseñas y otros secretos. Ha transcurrido más de una década, existen parches, pero estas versiones siguen lanzándose. Esto indica una higiene deficiente en el desarrollo y un descuido en los datos de los usuarios.
El canal de comunicación tampoco es el mejor. Aproximadamente el 1% de los clientes evaluados fueron vulnerables a ataques de intermediario. Esto implica una validación incorrecta del certificado. La aplicación acepta un certificado falso, establece una conexión aparentemente segura con el atacante y luego reenvía el tráfico para su posterior análisis. El usuario confía en que todo está bien, el servidor no se da cuenta, pero aun así los datos acaban en manos indebidas.
En iOS ha surgido un problema de transparencia aparte. Apple exige que la recopilación y el uso de datos se divulguen de forma transparente en el perfil de la aplicación y a través del manifiesto de privacidad. Las investigaciones demuestran que las declaraciones formales a menudo no se ajustan a la lógica operativa real. Una cuarta parte de las aplicaciones ni siquiera incluye un manifiesto de privacidad adecuado. Para un software que promete anonimato y confidencialidad, dicha opacidad supone un riesgo en sí misma. El usuario no puede dar su consentimiento informado, la empresa no puede verificar adecuadamente al proveedor, y los flujos de telemetría y los identificadores ocultos pueden transformarse fácilmente en perfiles de usuario.
Luego están los permisos que la aplicación solicita al sistema . En los ecosistemas Android e iOS, hay solicitudes que son completamente innecesarias para el propósito previsto de una VPN. En Android, por ejemplo, estas son AUTHENTICATE_ACCOUNTS, que permite la gestión de cuentas y tokens, y READ_LOGS, que permite leer los registros del sistema. La primera abre la puerta al robo de identidad, mientras que la segunda convierte a la aplicación en un espía con acceso a las acciones del usuario y la actividad de otras aplicaciones. En iOS, hay solicitudes de acceso constante a la geolocalización y la red local. La primera proporciona un historial completo de movimientos, mientras que la segunda permite el escaneo silencioso de dispositivos domésticos y de oficina y busca objetivos de ataque. Los desarrolladores explican estos permisos citando la selección automática de nodos o las comprobaciones de seguridad de la red, pero para una VPN, estas son funciones excesivas y peligrosas.
Otro hallazgo alarmante se refiere a los permisos privados en iOS. Más del seis por ciento de las aplicaciones (treinta en total) solicitaron permisos que otorgan acceso profundo a funciones del sistema. Esta solicitud es una señal de alerta. Incluso si la plataforma no los otorga, el mero intento de hacerlo indica una intención de ir más allá de las API públicas. Estos permisos pueden realizar llamadas al sistema, recuperar datos confidenciales de la memoria y escalar privilegios.
La conclusión es simple y desagradable.
No todas las VPN son igual de útiles, especialmente las gratuitas . Para los usuarios domésticos, esto supone un riesgo para la privacidad, mientras que para las empresas que utilizan dispositivos propietarios y personales en el mismo entorno, también supone un riesgo empresarial.
RedazioneEn el porche de una vieja cabaña en Colorado, Mark Gubrud , de 67 años, mira distraídamente el anochecer distante, con su teléfono a su lado y la pantalla todavía en una aplicación de noticias. ...
El trabajo remoto ha dado libertad a los empleados , pero con él también ha llegado la vigilancia digital . Ya comentamos esto hace tiempo en un artículo donde informamos que estas herramientas de ...
La empresa israelí NSO Group apeló un fallo de un tribunal federal de California que le prohíbe utilizar la infraestructura de WhatsApp para distribuir su software de vigilancia Pegasus. El caso, q...
Se ha identificado una vulnerabilidad de omisión de autenticación en Azure Bastion (descubierta por RHC gracias a la monitorización constante de CVE críticos en nuestro portal), el servicio gestio...
El panorama del ransomware está cambiando. Los actores más expuestos —LockBit, Hunters International y Trigona— han pagado el precio de la sobreexposición, incluyendo operaciones internacionale...
