VPN o Virtual Private Network es una tecnología utilizada para desplegar una red privada virtual entre dos puntos de Internet, permitiendo que los dispositivos acoplados a ella tengan comunicación ininterrumpida entre sí, sin importar las barreras físicas o trayecto entre ellas. Su funcionamiento incorpora protocolos y tecnologías como SSL, IPSec, PPTP y L2TP y distintas fases asociadas a la autenticación, tunelización y cifrado de los datos.

Según fuentes consultadas, referentes en temas de privacidad de los datos, el 20% de las aplicaciones VPN instaladas en los teléfonos incorporan en su marcha un índice de riesgo importante enlazado a la gratuidad de su empleo.  Dichas aplicaciones integradas en la tienda Google Play Store, han sido catalogadas por expertos en la materia (Metric Labs), como “potenciales fuentes de malware” mediante análisis en VirusTotal a través de los archivos binarios asociados.  Los informes resultantes de cada aplicación identificaron lo siguiente:

• Coincidencias con las principales bases de datos para detectar malware y virus conocidos
• Permisos de la aplicación
• Funciones y comportamientos peligrosos.

Un análisis más profundo permitió incorporar en la cultura sobre el manejo de la tecnología las implicaciones en Categoría: Aplicaciones Gratuitas.

DETALLES TÉCNICOS:

La introducción de permisos intrusivos y funciones de riesgo, no necesariamente pueden calificar a la aplicación VPN de maliciosa, pero tampoco hay que desentenderse de la idea de que sean, al decir de algunos autores, típicamente benignos. Lo que pudiera resultar discordante en nuestra interpretación es cuando los permisos y la funcionalidad basados ​​en la ubicación se utilizan para orientar anuncios geográficamente a los usuarios con una conexión VPN activa, enfocando la confianza del usuario hacia un nivel inferior.

Teniendo en cuenta que el Ciclo de Desarrollo del Software, incorpora la practica activa del empleo de bibliotecas de terceros para propósitos comunes, es innegable que la ventana de riesgo crece al no verificar en muchas ocasiones los permisos y funciones intrusivas que permite el usuario en su instalación.

Cuando se conversa sobre el término de Amenaza Persistente Avanzada, pensamos que es una metáfora y entonces descartamos consecuencias asociadas a las bondades de la gratuidad, olvidando que existen riesgos asociados a la ¨inactividad¨ de funciones en el código, incluso cuando eliminamos los permisos asociados a su funcionamiento. Y es ahí donde la ingenuidad nos supera, pues tras cada desarrollo, hay siempre una actualización de la aplicación. Resulta conveniente recordar que el factor experiencia del usuario sobre las tecnologías aplica a la concesión de permisos de denegación.

Las métricas evaluadas estuvieron asociadas a conceptos como:

• Fugas: DNS, WebRTC, Dirección IP
• Permisos: Intrusivos, Rastreo de Ubicación, Acceso a Información Personal, Uso de la Cámara o la Grabación a través del micrófono sin el conocimiento del usuario, Acceso a los Contactos, Envío secreto de SMS.
• Funciones de Riego: Abusos de Privacidad, Localización.
• Malware y virus: Escaneo
• Prueba de Red: Servidores DNS en Listas Negras, Comportamiento DNS, Rendimiento de la Red
• Cifrado: Establecimiento de la Conexión, Cifrado de Datos.

Consecuencias asociadas a las métricas evaluadas:

• Exposición del historial de navegación ante el proveedor de Servicio y a cualquier operador de servidor DNS de terceros que pueda utilizar.
• Exposición de la IP real del usuario a través de tecnologías destinadas a ofrecer conexiones rápidas como es el caso de WebRTC.
• Empleo de tecnologías antiguas vulnerables como Flash.
• Solicitud de permisos intrusivos a partir de las prácticas publicitarias.
• Resultado de prácticas de desarrollo deficientes mediante el uso de bibliotecas de terceros para las funcionalidades comunes.
• Inclusión de permisos obsoletos que ya no son compatibles con el sistema operativo Android, pero que en algún momento se consideraron de alto riesgo.
• Detección de comandos y funciones de Java riesgosos.
• Uso de servidores DNS que figuran en listas negras importantes, lo que puede evitar que los usuarios accedan a sitios mientras están conectados a esa VPN.
• Empleo de proxies transparentes vulnerables a ataques.
• Almacenamiento en cache de la información aun cuando se le dice explícitamente que no lo haga. Aportando el riesgo de que se almacenen y entreguen los datos de sesión de otros usuarios en caso de que dos usuarios accedan al mismo sitio web.

En la siguiente tabla se muestran las principales VPNs, en cuanto a número de descargas, que presentan diferentes riesgos de privacidad o seguridad para el usuario final.

Aplicación                                     Permisos de riesgo            DNS Leak           Funciones de riesgo            Malware

Hotspot Shield Free(50M)                       Detectado                       No                          Detectado                          No

SuperVPN (50M)                                     Detectado                       Si                           Detectado                          No

Hi VPN (10M)                                          Detectado                       Si                           Detectado                          No

Hotspot Shield Basic(10M)                      Detectado                       No                       No Detectado                       No

Psiphon Pro (10M)                                   Detectado                      No                          Detectado                         No

Turbo VPN (10M)                                   No Detectado                   Si                          No Detectado                     No

VPN Master (10M)                                 No Detectado                    Si                            Detectado                       No

Snap VPN (10M)                                      Detectado                      Si                            Detectado                       No

Hola(10M)                                                Detectado                     Si                             Detectado                       No

SpeedVPN (10M)                                     Detectado                      No                           Detectado                       No

Según estudio realizado por la compañía Metrix Labs entre las principales VPN evaluadas de forma positiva se encuentran:

• Windscribe.
• ProtonVPN
• TunnelBear
• Hide.me Free
• Avira Free VPN

 RECOMENDACIONES:

• Los usuarios que decidan emplear un servicio gratuito deberían investigar absolutamente fuera de Play Store y consultar recomendaciones independientes de VPN gratuitas.
• Emplear herramientas de comprobación que verifiquen al menos métricas como Fugas y Malware.
• Actualmente recomendamos el uso de las VPNs evaluadas de positivo

REFERENCIAS:

• https://www.top10vpn.com/assets/2019/01/Top10VPN-Free-VPN-Risk-Index-Network-Test-Results.pdf
• https://www.top10vpn.com/free-vpn-android-app-risk-index/#methodology
• https://www.top10vpn.com/guides/vpn-encryption-protocols/
• https://www.top10vpn.com/best-vpn/free/
• https://www.top10vpn.com/free-vpn-app-investigation/
• https://protegermipc.net/2019/04/10/pasos-para-probar-la-seguridad-de-tu-vpn-dns-webrtc-ip-malware/
• https://proprivacy.com/vpn/guides/a-complete-guide-to-ip-leaks
• https://es.vpnmentor.com/blog/principales-servicios-de-vpn-realmente-gratis/