Quién posee, opera y desarrolla su VPN es importante

Las redes privadas virtuales (VPN) son una infraestructura crítica de seguridad y privacidad utilizada por personas de todo el mundo para eludir la censura y la vigilancia represivas y proteger su privacidad y sus conexiones en redes WiFi públicas. Su popularidad ha crecido significativamente a medida que los gobiernos más autoritarios censuran la Internet libre y abierta. 

Los proveedores comerciales de VPN operan con distintos grados de transparencia, y los usuarios deben determinar si valoran más la transparencia que el anonimato a la hora de elegir un proveedor, ya que hay compensaciones con cada uno.

Recientemente, mis colegas y yo descubrimos que ocho proveedores de aplicaciones VPN populares y comerciales parecen ocultar la propiedad y el funcionamiento de sus servicios. Estos servicios contienen graves problemas de privacidad y seguridad que ponen a más de 700 millones de usuarios en riesgo de sufrir vigilancia autoritaria.

Las VPN no están diseñadas para comunicaciones verdaderamente anónimas. Al seleccionar un proveedor de VPN, los usuarios transfieren implícitamente la confianza de su proveedor de servicios de Internet al proveedor de VPN. Esta transferencia -a pesar de que a menudo se pasa por alto o se ignora- conlleva importantes implicaciones de seguridad, dado el acceso del proveedor a los datos del usuario.

La ventaja de un proveedor de VPN que opere de forma transparente es que los usuarios saben quién puede ver sus comunicaciones. La limitación de un proveedor de este tipo es que puede ser identificado fácilmente por las autoridades y ser citado o blanco de ciberdelincuentes, lo que podría poner en peligro a los usuarios.

Un proveedor de VPN que opere de forma anónima (por tanto, menos transparente) no puede ser fácilmente blanco de censores o ciberdelincuentes, ni ser citado por las autoridades, lo que proporciona un nivel de protección a los usuarios. El inconveniente es que los usuarios no saben quién puede ver sus comunicaciones, lo que podría aumentar su riesgo de vigilancia o explotación.

La información sobre las operaciones, la propiedad y el desarrollo de un proveedor es clave para que los usuarios tomen decisiones informadas, pero estos detalles suelen ser difíciles de encontrar. Además, algunos proveedores de VPN -especialmente los servicios gratuitos que monetizan los datos de los usuarios y sirven anuncios- utilizan prácticas éticamente cuestionables a la hora de desarrollar, comercializar y operar sus VPN. Explotan lagunas legales e intentan ocultar quién controla sus servicios. Por ejemplo, algunas VPN citan a Singapur (un país con fuertes leyes de privacidad) como su país de origen en las historias de las aplicaciones, aunque en realidad están vinculadas a China (un país con leyes de privacidad muy invasivas).

Cuando este tipo de información sobre los proveedores de VPN no es fácil de encontrar o el proveedor trata activamente de ocultarla, los usuarios se arriesgan a confiar sus datos a un proveedor que de otro modo no habrían elegido. En contextos en los que las personas son perseguidas por expresarse en línea o acceder a información que las autoridades bloquean, estas VPN ponen a sus usuarios en grave peligro. 

En un esfuerzo por aportar una mayor visibilidad al ecosistema de las VPN, colaboré con el Dr. Jeffrey Knockel del Bowdoin College y el Dr. Jedidiah R. Crandell de la Universidad Estatal de Arizona como parte de mi Programa de Becas de Control de la Información (ICFP) para descubrir quién posee, opera y desarrolla 32 VPN populares en Google Play Store (con más de mil millones de descargas, en conjunto). Veintiún proveedores de VPN aparentemente distintos distribuyen estas aplicaciones VPN y dan servicio a usuarios de en India, Indonesia, Rusia, Pakistán, Arabia Saudí, Turquía, EAU, Bangladesh, Egipto, Argelia, Singapur y Brasil.

Asignamos a los proveedores una puntuación multifactorial de "transparencia frente a anonimato", con los objetivos de:

1. Ayudar a los usuarios a tomar decisiones más informadas a la hora de seleccionar un proveedor de VPN; y
2. Animar a las tiendas de aplicaciones a que identifiquen claramente las aplicaciones que funcionan de forma transparente y las que no.

También examinamos si existe una relación entre una menor transparencia y las vulnerabilidades de seguridad.

A continuación presentamos tres conclusiones significativas de nuestra investigación:

Dos grupos de proveedores no revelan que están relacionados o que operan juntos, y parecen ocultar la propiedad y las operaciones de sus servicios.

La investigación previa descubrió que el primer grupo -INNOVATING CONNECTING LIMITED, AUTUMN BREEZE PTE. LIMITED, y LEMON CLOVE PTE. LIMITED- están operadas por los mismos ciudadanos chinos y tienen vínculos con la empresa china de ciberseguridad Qihoo 360 y el EPL examinando sus políticas de privacidad y sus registros de derechos de autor. Indagamos más a fondo analizando manualmente sus aplicaciones VPN más populares y descubrimos que también comparten código e infraestructura, e indicaciones de conexión aún más fuertes.

El segundo grupo de proveedores de VPN preocupantes, que la investigación anterior no ha investigado, incluye a MATRIX MOBILE PTE. LTD., ForeRaya Technologies PTE LTD, Wildlook Tech Pte Ltd., Hong Kong Silence Technology y Yolo Technology Limited. Aunque no se pudieron identificar conexiones con Qihoo 360 para estas entidades, sus características operativas son similares a las del primer cluster (que sí tiene vínculos con la firma china de ciberseguridad). Por ejemplo, sus políticas de privacidad hacen referencia a Innovative Connecting. Además, sus aplicaciones comparten infraestructura y código.

Las vulnerabilidades incluyen:

• El uso de Shadowsocks para la creación de túneles: Shadowsocks (un proyecto de proxy de código abierto diseñado para eludir la censura en Internet y las restricciones geográficas) se diseñó únicamente para el acceso a la Internet abierta , no para la confidencialidad. Esto es problemático, ya que estas aplicaciones se anuncian como proveedoras de seguridad para el usuario. 
• Contraseñas codificadas en su configuración que son compartidas por todos los usuarios: La contraseña está incrustada en el código fuente, en lugar de almacenarse de forma segura en otro lugar y recuperarse en tiempo de ejecución. El hecho de que las credenciales de la contraseña estén en el propio código de la aplicación las hace fácilmente accesibles a cualquiera que pueda ver el código. Un atacante que conozca la contraseña puede descifrar el cifrado de la VPN para todos los usuarios, exponiendo el contenido al que acceden. Esto compromete significativamente la seguridad y la privacidad de los usuarios.
• Susceptibilidad a los ataques "blind-in/on-path" cliente/servidor (lado cliente confirmado, lado servidor implícito): Un atacante puede interceptar e incluso modificar la comunicación sin el conocimiento del usuario, lo que supone una grave violación de su privacidad y seguridad. 
• Extracción de información sobre la ubicación del usuario, a pesar de afirmar que ésta no se recoge.

Estos problemas de software son alarmantes, especialmente para los proveedores vinculados a la empresa china de ciberseguridad Qihoo 360. Pone en tela de juicio las intenciones de los proveedores cuando se conectan a la mayor empresa de ciberseguridad de China y, sin embargo, ofrecen aplicaciones críticas para la seguridad con vulnerabilidades flagrantes.

Aunque no todas las aplicaciones VPN comerciales gratuitas operan de mala fe, utilizar productos como TurboVPN, VPN Proxy Master y Snap VPN (suministrados por el primer grupo de proveedores) supone un riesgo mucho mayor para la seguridad y la privacidad del usuario que una aplicación VPN de pago. Esto se debe a que las VPN comerciales gratuitas tienden a sacar provecho de los datos de sus usuarios, utilizando potencialmente prácticas éticamente cuestionables en su desarrollo, marketing y operaciones.

Lea el informe completo y acceda al informe técnico detallado.

Adaptado del post original publicado por primera vez por el Fondo de Tecnología Abierta.

Benjamin Mixon-Baca es investigador de seguridad y cofundador de Breakpointing Bad. Esta investigación se llevó a cabo como parte de su beca ICFP.

Las opiniones expresadas por los autores de este blog son suyas y no reflejan necesariamente los puntos de vista de la Internet Society.