Durante los últimos años un creciente número de usuarios de todo tipo de dispositivos se han decantado por utilizar alguna VPN, también conocidas como Virtual Private Network, como método de protección contra los posibles ataques que puedan recibir a la hora de navegar por Internet, así están protegidos contra los diversos códigos maliciosos que circulan por la Red y que se pueden introducir en nuestros equipos en cualquier momento, al menos en teoría.
Sin embargo un reciente estudio en el que se han analizado casi 300 aplicaciones VPN que a lo largo de los últimos años han sido descargadas por millones de usuarios de Android desde la tienda oficial, Google Play, indica que la gran mayoría de ellas no son totalmente fiables, tal y como afirman ser en un principio. De hecho en el mismo estudio han podido comprobar que algunas de estas alternativas analizadas no funcionan en absoluto, lo que puede ser un dato un tanto desconcertante para muchos usuarios.
Más concretamente se ha analizado tanto el código fuente como el comportamiento de un total de 283 aplicaciones VPN para dispositivos basados en el sistema operativo para móviles de Google, Android, revelando interesantes datos que veremos a continuación. Para empezar diremos que el 18% de estas app no encriptó el tráfico en absoluto, algo que evidentemente deja a los usuarios que usan estas alternativas, expuestos a todo tipo de ataques man-in-the-middle cuando están conectados a redes no seguras. Además el 16% de estas incluyen código adicional para lograr una amplia variedad de objetivos como la codificación de imágenes, todo con el fin de que los archivos gráficos se carguen más rápidamente. De hecho dos de las VPN incluían código JavaScript que cargaba anuncios en los terminales móviles y controlaba el uso que el propio usuario realizaba con su dispositivo; como ya sabréis, en muchas ocasiones el JavaScript es utilizado con fines nada fiables.
Muchas VPN en Android no son muy seguras
Cambiando de tercio, el 84% de las propuestas filtró el tráfico basado en el protocolo de Internet IPv6 mientras que el 66% no detiene el flujo de datos relacionados con el sistema de nombres de dominio, por lo que de nuevo deja nuestra información personal vulnerable a la monitorización o manipulación desde el exterior. También merece la pena destacar el hecho de que tres de cada cuatro aplicaciones de este tipo utilizan bibliotecas de seguimiento de terceros para supervisar las actividades que llevan a cabo los usuarios cuando navegan por la Red, mientras que el 82% requiere permisos para acceder a recursos tan sensibles como las cuentas de usuario o los mensajes de texto del terminal.
Y la cosa no acaba ahí, ya que este estudio ha demostrado que el 38% de las propuestas analizadas contenían código clasificado como malicioso por la conocida web VirusTotal, un servicio propiedad de Google que nos proporciona análisis de más de 100 herramientas antivirus de diversos fabricantes. Decir que cuatro de estas app instalaron certificados digitales que provocaron que estas interceptaran y descifraran el tráfico de seguridad de la capa de transporte enviado entre los propios teléfonos inteligentes y los sitios web cifrados visitados desde el navegador.
Para aquellos que estéis interesados, decir que todos estos datos han sido proporcionados y desarrollados por investigadores de la Organización de Investigación Científica e Industrial de la Commonwealth de Australia, de la Universidad de South Wales y de la Universidad de California en Berkeley. Por todo ello se deduce que, a pesar de las promesas de privacidad, seguridad y anonimato dadas por la mayoría de las aplicaciones VPN, millones de usuarios pueden estar expuestos a prácticas abusivas infligidas por las propias aplicaciones o por agentes externos, todo ello pensando que gracias a su uso están totalmente protegidos.
La privacidad de nuestros datos es primordial
Estos investigadores, basándose en todos los datos recogidos, afirman que, a pesar de que las aplicaciones compatibles con servicios VPN en Android están siendo instaladas por millones de usuarios móviles en todo el mundo, su transparencia operativa y su posible impacto en la privacidad y seguridad es toda una incógnita, incluso para los más experimentados en tecnología.
Tampoco es cuestión de ser alarmistas a este respecto, pero lo que hay que tener en cuenta es que en las tiendas oficiales de los diferentes sistemas operativos actuales podemos encontrar un enorme número de propuestas relativas a todo tipo de trabajos y modos de funcionamiento, pero siempre hay que tener mucho cuidado con las que instalamos y usamos, especialmente cuando se refieren a nuestra privacidad y seguridad. Por todo ello nunca es recomendable introducir datos personales o sensibles en nuestros dispositivos a petición de terceros, ya que no sabemos si realmente estamos tan protegidos como podríamos pensar en un principio.
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad