- Múltiples protocolos VPN (OpenVPN, WireGuard, OpenConnect) incorporados a los productos de los principales proveedores de VPN son susceptibles de ataques que permiten el reconocimiento de los clientes conectados a la VPN, eliminan el cifrado del túnel VPN o toman el control de las conexiones.
- Existen múltiples estrategias de mitigación, aunque algunas son sólo parciales.
- Las VPN más comunes (NordVPN, ExpressVPN, SurfShark) están protegidas.
La mayoría de la gente asume que cuando se conecta a una red privada virtual (VPN), su actividad posterior en Internet no puede vincularse a ella y que sus comunicaciones son privadas. Por desgracia, esto no está garantizado debido a la forma en que están diseñadas las VPN modernas. De hecho, el diseño de las VPN modernas posibilita algunos ataques.
Nuestro reciente estudio sobre uno de estos ataques, Port Shadow, muestra que la mitad de las 10 VPN más populares utilizadas hoy en día son vulnerables a que un atacante intercepte sus rutas. Los ataques se dirigen al software del servidor y, por ello, los clientes poco pueden hacer: dependen del operador del servidor VPN para asegurar y configurar adecuadamente su servidor VPN.
¿Cómo funciona la Sombra del Puerto?
Una VPN consta de dos piezas de software: el cliente VPN, que se ejecuta en tu PC o dispositivo móvil, y un servidor VPN, al que se conecta tu cliente VPN. Una vez que tu cliente VPN se conecta al servidor VPN, todas las comunicaciones por Internet que envíes desde ese dispositivo son encriptadas por el cliente y luego enviadas al servidor VPN. El servidor VPN elimina el cifrado y reenvía el tráfico al destino que desees, como Instagram, X, Reddit o pulse.internetsociety.com.
La Sombra de Puertos permite a un atacante redirigir las comunicaciones enviadas a los clientes VPN de forma que socaven la seguridad del cliente VPN. Esto puede llevar a que el atacante realice un reconocimiento de los clientes VPN mediante el escaneo de puertos, eliminando el cifrado del túnel VPN y permitiendo al atacante espiar al cliente VPN, o actuando como si fuera un router entre el cliente VPN y el servidor VPN, aunque no controle ninguno de los routers de la ruta.
En muchos servidores VPN, un módulo del marco de seguimiento de conexiones cambia tu IP y enmascara tu identidad. Este módulo se invoca cada vez que alguien se conecta al servidor VPN, y como el servidor VPN es un recurso compartido para todos los clientes VPN, también lo es el marco de seguimiento de conexiones. El marco de seguimiento de conexiones también afecta al modo en que el servidor VPN enruta los paquetes entre los clientes VPN y otras máquinas de Internet.
Hemos descubierto que un atacante puede cambiar la decisión de enrutamiento tomada por el marco de seguimiento de conexiones y hacer que enrute los paquetes hacia un atacante. Nuestro documento 2024, “Ataque a los marcos de seguimiento de conexiones utilizados por las redes privadas virtuales”, contiene más detalles.
Por desgracia, encontramos fallos fundamentales en la forma en que las VPN modernas utilizan un componente del sistema operativo para facilitar esta capacidad.
¿A quién afecta?
Como parte de nuestro estudio, probamos los sistemas operativos y los marcos de seguimiento de conexiones más comunes que ejecutan el software y los protocolos VPN reales. En concreto, probamos Ubuntu Linux Server y FreeBSD y sus respectivos marcos de seguimiento de conexiones.
Encontramos que ambos sistemas son vulnerables a los ataques más graves cuando no están correctamente configurados.
Aunque hemos encontrado pruebas de que cinco de las diez VPN más comunes pueden ser vulnerables al Port Shadow. Afortunadamente, las VPN más comunes (NordVPN, ExpressVPN, Surfshark) no son vulnerables a los ataques.
No probamos directamente a los proveedores de VPN por cuestiones éticas, ya que es probable que los ataques interfieran con los clientes legítimos de VPN.
Nuestras recomendaciones
Animamos a los usuarios de VPN a que comprueben con su proveedor de VPN si tienen prácticas de mitigación adecuadas contra Port Shadow.
Estas prácticas incluyen no utilizar las mismas direcciones IP para las conexiones de los clientes y las conexiones que salen del servidor VPN. Los proveedores de VPN que utilizan una configuración “multisalto” no son vulnerables a la Sombra de Puertos.
Otras opciones para los clientes son
- Una VPN autoalojada y no compartirla con otros usuarios, aunque esto reduce la privacidad de los clientes individuales, ya que su tráfico es el único que entra o sale de su servidor autoalojado.
- Diferentes tipos de VPN, como Tor o ShadowSocks.
Benjamin Mixon-Baca es investigador de seguridad y cofundador de Breakpointing Bad. Esta investigación se realizó en colaboración entre Breakpointing Bad, Citizen Lab, ASU, UNM y la Universidad de Michigan.