Quién posee, opera y desarrolla tu VPN es importante

Las Redes Privadas Virtuales (VPN) son una infraestructura crítica de seguridad y privacidad utilizada por personas de todo el mundo para eludir la censura y la vigilancia represivas y proteger su privacidad y sus conexiones en WiFi públicas. Su popularidad ha aumentado considerablemente a medida que los gobiernos más autoritarios censuran la Internet libre y abierta.

Los proveedores comerciales de VPN operan con distintos grados de transparencia, y los usuarios deben determinar si valoran más la transparencia que el anonimato a la hora de elegir un proveedor, ya que cada uno tiene sus ventajas y desventajas.

Recientemente, mis colegas y yo descubrimos que ocho proveedores de aplicaciones VPN populares y comerciales parecen ocultar la propiedad y el funcionamiento de sus servicios. Estos servicios contienen graves problemas de privacidad y seguridad que ponen a más de 700 millones de usuarios en peligro de sufrir vigilancia autoritaria.

Transparencia vs. Anonimato en el Ecosistema VPN

Las VPN no están diseñadas para comunicaciones verdaderamente anónimas. Al elegir un proveedor de VPN, los usuarios transfieren implícitamente la confianza de su proveedor de servicios de Internet al proveedor de VPN. Esta transferencia -a pesar de que a menudo se pasa por alto o se ignora- conlleva importantes implicaciones de seguridad, dado el acceso del proveedor a los datos del usuario.

La ventaja de un proveedor de VPN de funcionamiento transparente es que los usuarios saben quién puede ver sus comunicaciones. La limitación de un proveedor de este tipo es que puede ser identificado fácilmente por las autoridades y ser citado u objetivo de ciberdelincuentes, lo que podría poner en peligro a los usuarios.

Un proveedor de VPN que opere de forma anónima (por tanto, menos transparente) no puede ser blanco fácil de censores o ciberdelincuentes, ni ser citado por las autoridades, lo que proporciona un nivel de protección a los usuarios. El inconveniente es que los usuarios no saben quién puede ver sus comunicaciones, lo que podría aumentar su riesgo de vigilancia o explotación.

La información sobre las operaciones, la propiedad y el desarrollo de un proveedor es clave para que los usuarios tomen decisiones informadas, pero estos detalles suelen ser difíciles de encontrar. Además, algunos proveedores de VPN -especialmente los servicios gratuitos que monetizan los datos de los usuarios y ofrecen anuncios- utilizan prácticas éticamente cuestionables cuando desarrollan, comercializan y operan sus VPN. Explotan lagunas legales e intentan ocultar quién controla sus servicios. Por ejemplo, algunas VPN citan Singapur (un país con leyes de privacidad estrictas) como su país de origen en las historias de las aplicaciones, aunque en realidad están vinculadas a China (un país con leyes de privacidad muy invasivas).

Cuando este tipo de información sobre el proveedor de VPN no es fácil de encontrar o el proveedor trata activamente de ocultarla, los usuarios se arriesgan a confiar sus datos a un proveedor que de otro modo no habrían elegido. En contextos en los que se persigue a las personas por expresarse en línea o por acceder a información que las autoridades bloquean, estas VPN ponen a sus usuarios en grave peligro.

Análisis de la Transparencia frente al Anonimato en el Ecosistema VPN, e Implicaciones para los Usuarios

En un esfuerzo por aportar mayor visibilidad al ecosistema de las VPN, colaboré con el Dr. Jeffrey Knockel, del Bowdoin College, y el Dr. Jedidiah R. Crandell, de la Universidad Estatal de Arizona, como parte de mi Programa de Becas de Control de la Información (ICFP), para descubrir quién posee, opera y desarrolla 32 VPN populares en Google Play Store (con más de mil millones de descargas, en conjunto). Veintiún proveedores de VPN aparentemente distintos distribuyen estas aplicaciones VPN y sirven usuarios en India, Indonesia, Rusia, Pakistán, Arabia Saudí, Turquía, EAU, Bangladesh, Egipto, Argelia, Singapur y Brasil.

Asignamos a los proveedores una puntuación multifactorial de “transparencia frente a anonimato”, con los objetivos de:

1. Ayudar a los usuarios a tomar decisiones más informadas al seleccionar un proveedor de VPN; y
2. Animar a las tiendas de aplicaciones a identificar claramente las aplicaciones que funcionan de forma transparente y las que no.

También examinamos si existe una relación entre menos transparencia y vulnerabilidades de seguridad.

A continuación se exponen tres conclusiones significativas de nuestra investigación:

Dos grupos de proveedores de VPN -cuyas aplicaciones tienen más de 700 millones de descargas, en conjunto- tienen delitos de transparencia

Dos grupos de proveedores no revelan que están relacionados o que operan juntos, y parecen ocultar la propiedad y el funcionamiento de sus servicios.

En investigaciones anteriores se constató que el primer clúster -INNOVATING CONNECTING LIMITED, AUTUMN BREEZE PTE. LIMITED, y LEMON CLOVE PTE. LIMITED- están operados por los mismos ciudadanos chinos y tienen vínculos con la empresa china de ciberseguridad Qihoo 360 y con el EPL examinando sus políticas de privacidad y sus registros de derechos de autor. Profundizamos más analizando manualmente sus aplicaciones VPN más populares y descubrimos que también comparten código e infraestructura, e indicaciones de conexión aún más sólidas.

El segundo grupo de proveedores de VPN preocupantes, que la investigación anterior no ha investigado, incluye a MATRIX MOBILE PTE. LTD., ForeRaya Technologies PTE LTD, Wildlook Tech Pte Ltd., Hong Kong Silence Technology y Yolo Technology Limited. Aunque no se han podido identificar las conexiones de estas entidades con Qihoo 360, sus características operativas son similares a las del primer grupo (que sí tiene vínculos con la empresa china de ciberseguridad). Por ejemplo, sus políticas de privacidad hacen referencia a Innovative Connecting. Además, sus aplicaciones comparten infraestructura y código.

Ambos clusters tienen varias vulnerabilidades de seguridad

Las vulnerabilidades incluyen:

• El uso de Shadowsocks para hacer túneles: Shadowsocks (un proyecto de proxy de código abierto diseñado para eludir la censura en Internet y las restricciones geográficas) se diseñó para acceder a la Internet abierta y no para la confidencialidad. Esto es problemático, ya que estas aplicaciones se anuncian como proveedoras de seguridad para el usuario.
• Contraseñas codificadas en su configuración y compartidas por todos los usuarios: La contraseña está incrustada en el código fuente, en lugar de almacenarse de forma segura en otro lugar y recuperarse en tiempo de ejecución. El hecho de que las credenciales de la contraseña estén en el propio código de la aplicación las hace fácilmente accesibles a cualquiera que pueda ver el código. Un atacante que conozca la contraseña puede descifrar el cifrado de la VPN para todos los usuarios, exponiendo el contenido al que acceden. Esto compromete significativamente la seguridad y la privacidad del usuario.
• Susceptibilidad a los ataques cliente/servidor blind-in/on-path (lado del cliente confirmado, lado del servidor implícito): Un atacante puede interceptar e incluso modificar la comunicación sin conocimiento del usuario, lo que supone una grave violación de su privacidad y seguridad.
• Extracción de información sobre la ubicación del usuario, a pesar de afirmar que no se recoge.

Estos problemas de software son alarmantes, especialmente para los proveedores vinculados a la empresa china de ciberseguridad Qihoo 360. Pone en tela de juicio las intenciones de los proveedores cuando se conectan a la mayor empresa de ciberseguridad de China y, sin embargo, ofrecen aplicaciones críticas para la seguridad con vulnerabilidades evidentes.

Las aplicaciones VPN comerciales gratuitas son más arriesgadas que las de pago

Aunque no todas las aplicaciones VPN comerciales gratuitas operan de mala fe, utilizar productos como TurboVPN, VPN Proxy Master y Snap VPN (suministrados por el primer grupo de proveedores) supone un riesgo mucho mayor para la seguridad y privacidad del usuario que una aplicación VPN de pago. Esto se debe a que las VPN comerciales gratuitas tienden a sacar provecho de los datos de sus usuarios, utilizando potencialmente prácticas éticamente cuestionables en su desarrollo, marketing y operaciones.

Lee el informe completo y accede al informe técnico detallado.

Adaptado del post original publicado por primera vez por el Fondo de Tecnología Abierta.

Benjamin Mixon-Baca es investigador de seguridad y cofundador de Breakpointing Bad. Esta investigación se llevó a cabo como parte de su Beca de la ICFP.

Las opiniones expresadas por los autores de este blog son suyas y no reflejan necesariamente los puntos de vista de la Internet Society.

Contenido traducido

El contenido en francés y español disponible en Internet Society Pulse puede haber sido generado usando servicios de traducción automática, por lo que podría no reflejar con total precisión el texto original.

La versión oficial es el texto en inglés.