Un equipo de hacking ético ha conducido una investigación sobre las principales herramientas de red privada virtual (VPN) disponibles en Google Play Store, descubriendo la presencia de múltiples vulnerabilidades de seguridad en varias de estas aplicaciones, lo que podría exponer a millones de usuarios.
Cabe recordar que una VPN brinda a los usuarios total privacidad y anonimato en el uso de Internet, creando una red privada individual a partir de una conexión pública, ocultando su IP y empleando conexiones cifradas más seguras que las de uso convencional. Recientemente el uso de VPNs se ha popularizado debido a la capacidad de evadir el bloqueo geográfico en algunas plataformas en línea como Netflix, accediendo así a contenido restringido en ciertas áreas.
Jan Youngren y su equipo de especialistas en hacking ético analizaron docenas de herramientas VPN, encontrando al menos diez que presentan fallas de seguridad críticas. Acorde al investigador, es posible explotar las vulnerabilidades en estas herramientas empleando ataques Man-in-The-Middle (MiTM), una variante de ataque en la que el actor de amenazas intercepta las comunicaciones entre personas o sistemas. Según el informe, las aplicaciones con más fallas de seguridad son:
- SuperVPN Free VPN Client
- TapVPN Free VPN
- Best Ultimate VPN – Fastest Secure Unlimited VPN
- Korea VPN – Plugin for OpenVPN
- Wuma VPN-PRO (Fast & Unlimited & Security)*
- VPN Unblocker Free Unlimited Best Anonymous Secure
- VPN Download: Top, Quick & Unblock Sites*
- Super VPN 2019 USA – Free VPN, Unblock Proxy VPN
- Secure VPN-Fast VPN Free & Unlimited VPN*
- Power VPN Free VPN*
*Aplicaciones que ya han sido eliminadas de Play Store
Alrededor de 105 millones de usuarios han descargado alguna de estas aplicaciones, por lo que podrían haber sufrido el robo de sus credenciales de acceso, información bancaria o datos personales. Acorde a Youngren, “todos los datos de navegación recolectados por estas aplicaciones son enviados a ubicaciones desconocidas, controladas por potenciales actores de amenazas. Los usuarios creen que están navegando de forma segura, pero en realidad están más expuestos que al usar una red convencional”.
En su documento, los especialistas en hacking ético afirman haber notificado a todas las compañías, aunque sólo una reconoció el informe y emitió un parche de actualización.
El Instituto Internacional de Seguridad Cibernética (IICS) recomienda a los usuarios de alguna de las aplicaciones potencialmente afectadas revisar las plataformas oficiales de los desarrolladores para mayores detalles sobre el estado de su seguridad.
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
