Más del 65% de las VPNs gratuitas amenazan tu privacidad

Si estás buscando proteger tu privacidad en línea, lo primero que probablemente se te viene a la mente es una VPN. Una Red Privada Virtual, o VPN, es un programa que se ejecuta en tu dispositivo (ya sea escritorio, laptop o móvil), cifra todo el tráfico de internet y además protege tu privacidad al ocultar tu ubicación real de cualquier persona lo suficientemente curiosa como para verificar tu dirección IP. Usar una VPN es realmente “Privacidad 101”, y las VPNs son extremadamente populares, incluso entre personas que tienen una idea vaga de cómo funcionan — o ninguna idea en absoluto.

Desafortunadamente, en la práctica esto significa que, al elegir una VPN, los usuarios con menos experiencia a menudo toman la primera opción que ven en la tienda de extensiones de su navegador. Generalmente, es una entre literalmente miles de VPNs gratuitas, muchas veces relativamente desconocidas. Los lectores más preocupados por la privacidad probablemente ya estén sonando alarmas solo con leer este escenario, y con razón. Las VPNs gratuitas simplemente no son seguras. Ya hay muchas evidencias que respaldan esta afirmación, y un estudio reciente de la empresa de seguridad móvil Zimperium zLabs solo lo confirma. Según su investigación, de 800 apps VPN gratuitas para Android e iOS, más del 65% presentaron uno o más problemas de seguridad o privacidad, como filtración de datos personales o código vulnerable.

Problemas más comunes

Vulnerabilidades más comunes en apps VPN móviles gratuitas

El problema más frecuentemente observado, presente en casi dos tercios de todas las apps analizadas, fue “comportamientos y APIs riesgosas”. Este término paraguas incluye tanto el uso de APIs peligrosas que pueden aumentar la superficie de ataque de una app VPN, como una serie de otros comportamientos preocupantes en las apps. Por ejemplo, algunas de las apps analizadas llegaron a capturar capturas de pantalla de la interfaz de usuario — tu suposición sobre por qué una app VPN necesitaría hacer esto es tan buena como la nuestra. Otras apps presentaron lanzamiento inseguro de actividades, dejando brechas para que atacantes pudieran evadir las verificaciones de seguridad del sistema operativo. Los atacantes podrían explotar esto lanzando componentes sensibles — como la pantalla de inicio de sesión — fuera del flujo normal de la app. Esto podría permitirles desactivar la encriptación a la fuerza o incluso desconectar la VPN completamente.

Algunas VPNs estudiadas fueron detectadas permitiendo que otras apps accedieran a sus partes internas sin las verificaciones de permisos adecuadas. Este tipo de falla podría permitir que apps maliciosas espiaran datos sensibles — como registros, detalles de conexión o cuentas de usuarios — o incluso alteraran el funcionamiento de la VPN, modificando sus configuraciones o redirigiendo el tráfico a servidores peligrosos.

El abuso de permisos en general fue otro problema muy evidente, detectado en alrededor del 40% de las apps analizadas. Incluso si se descarta la intención maliciosa, una app que solicita permisos más allá de su funcionalidad conlleva riesgos de seguridad: cuanto más permisos tiene la app, más puertas abre a un posible atacante. Y, sin duda, algunas apps VPN que solicitan permisos extraños, como acceso al micrófono, lo hacen con intenciones nada buenas — imagina una app VPN que graba todo lo que hablas durante el día y luego lo envía a algún servidor aleatorio que no conoces.

30 apps VPN para iOS también destacaron por solicitar “entitlements privados”, un tipo de permiso que da a la app un gran control sobre el dispositivo y normalmente está reservado a Apple o a apps confiables muy específicas. Por ejemplo, conceder algunos de estos permisos permitiría a la app ejecutar llamadas al sistema, acceder a áreas de memoria con información sensible o incluso extraer datos privados de otras apps, incluidas credenciales. Cuando una app solicita un entitlement, es una gran señal de alerta y generalmente indica que algo no está bien.

Uno de los problemas más comunes en apps VPN gratuitas para iOS específicamente es la presencia de etiquetas engañosas o ausentes. Cualquier app distribuida a través de la App Store debe declarar qué datos del usuario maneja y cómo, además de explicar por qué necesita las APIs que utiliza. Esto se hace mediante el privacy manifest de la app — un archivo interno incluido en el paquete de la app. Basándose en este manifiesto de privacidad, los desarrolladores deben listar etiquetas de nutrición visibles al usuario en la página de la app en la App Store. Funcionan como un resumen de privacidad fácil de entender para los usuarios, y el estudio reveló que más del 40% de las apps VPN iOS analizadas no presentaban correctamente las etiquetas necesarias. Peor aún, el 25% de las apps ni siquiera incluían un privacy manifest válido.

Tipos de etiquetas más frecuentemente ausentes en apps VPN gratuitas para iOS

Etiquetas mal representadas y manifestos de privacidad ausentes pueden atribuirse a descuido o mala intención, pero en cualquier caso, no es lo que deseas ver en una app que supuestamente protege tu privacidad. Engañar y confundir a los usuarios desde el principio ya es suficientemente malo y posiblemente peligroso, además de ser indicativo de otros problemas potencialmente mucho más graves.

Las dos últimas categorías de fallas de privacidad y seguridad listadas en la investigación, problemas de comunicación y bibliotecas problemáticas, aparecen en muchas menos apps (1% y 0,4% de todas las apps, respectivamente). Sin embargo, se encuentran entre los faux pas de privacidad más graves que una app VPN puede cometer. Tres apps aún usaban una versión antigua de la biblioteca OpenSSL, dejándolas vulnerables a un fallo muy conocido, antiguo y fácilmente solucionable, que puede exponer nombres de usuario, contraseñas y claves secretas de los usuarios. Esto es simplemente inaceptable, especialmente para una app que afirma protegerte — pero traiciona tu confianza. Otro 1% de las apps dejaba a los usuarios vulnerables a ataques MitM (Man-in-the-Middle), permitiendo que actores maliciosos interceptaran y leyeran todo el tráfico web del dispositivo. Esto es literalmente lo opuesto de lo que esperas de una VPN — comunicación segura.

Nuestra conclusión

Esta investigación muestra que, al instalar cualquier app VPN gratuita, es muy probable que te encuentres con al menos algunos problemas relacionados con la privacidad o la seguridad. Algunos pueden representar solo amenazas menores, pero otros pueden llevar a consecuencias realmente desastrosas. ¿Estás preparado para asumir este riesgo? Esto es lo que comenta el Director de Producto de AdGuard VPN sobre los hallazgos de Zimperium zLabs:

“Si tuviera que dar solo un consejo, sería evitar las VPNs gratuitas por completo. Nunca te ofrecerán la misma protección, velocidad y conjunto de funciones que las VPNs de pago, y los riesgos que asumes al instalar una son muy reales. Realmente no quieres escatimar en tu privacidad aquí.

Pero si realmente necesitas elegir una VPN gratuita, busca planes gratuitos de VPNs de pago establecidas y confiables. Sus planes gratuitos generalmente están sujetos a la misma política de privacidad, lo que garantiza la seguridad de tus datos personales.”

— Denis Vyazovoy, Director de Producto de AdGuard VPN

Recuerda que una VPN no es “solo otra app” en tu dispositivo. Potencialmente tiene acceso a todo el tráfico web de tu dispositivo y, como muestra la investigación, a veces incluso a la configuración del sistema. Elige tu app VPN con cuidado y respeto por tu propia privacidad.