Estudio muestra que varias app VPN gratuitas para iOS y Android filtran datos

Millones de personas que dependen de aplicaciones gratuitas de redes privadas virtuales (VPN) móviles para su privacidad en línea podrían estar poniendo sus datos en mayor riesgo, según un nuevo estudio de Zimperium zLabs. En un estudio de casi 800 aplicaciones VPN gratuitas para Android e iOS, los investigadores descubrieron que muchas no solo no protegen a los usuarios, sino que los exponen a graves amenazas de seguridad y privacidad.

Fallas críticas descubiertas

El equipo de zLabs descubrió que una parte considerable de estas aplicaciones presentan comportamientos peligrosos. Algunas filtran datos personales, mientras que muchas otras no ofrecen privacidad alguna. Los investigadores señalaron que una de las principales preocupaciones es el uso de software extremadamente antiguo y vulnerable por parte de los desarrolladores.

Por ejemplo, el análisis reveló que tres aplicaciones VPN aún utilizan una parte obsoleta de la biblioteca OpenSSL, lo que las expone al infame fallo Heartbleed ( CVE-2014-0160 ). Esta falla, descubierta en 2014, podría permitir que un atacante remoto acceda a información confidencial como claves secretas, nombres de usuario y contraseñas.

Aproximadamente el 1% de las aplicaciones eran vulnerables a ataques Man-in-the-Middle (MitM), lo que permitía a los atacantes interceptar y leer todo el tráfico de los usuarios. El lanzamiento de una aplicación con una falla de hace una década, con una solución conocida, pone de manifiesto una grave falta de diligencia en materia de seguridad.

Exceso de permisos y vigilancia

Un análisis más profundo reveló que muchas aplicaciones también solicitan acceso innecesario y potente, una práctica conocida como abuso de permisos. Por ejemplo, que una aplicación VPN de iOS solicite acceso a la ubicación "siempre activo" (LOCATION_ALWAYS) no tiene sentido, ya que la función principal de una VPN es proteger el tráfico, no rastrear la ubicación física las 24 horas del día, los 7 días de la semana.



De forma similar, algunas aplicaciones de Android solicitaban la capacidad de leer todos los registros del sistema (READ_LOGS), lo que les permitía crear un perfil completo del comportamiento del usuario, funcionando así como un "keylogger sofisticado".

Algunas aplicaciones solicitaban permisos como acceso a micrófonos, registros del sistema o capturas de pantalla de la interfaz de usuario, lo que otorgaba al proveedor de la aplicación un vector de vigilancia mucho más allá de su función declarada.

Prácticas de privacidad poco transparentes

Según la publicación del blog de Zimperium zLabs, los investigadores detectaron una falta de transparencia generalizada entre las aplicaciones inspeccionadas, lo que dificultaba la capacidad de los usuarios para dar su consentimiento informado sobre los datos recopilados. Incluso en la App Store de Apple, un 25 % de las aplicaciones VPN de iOS carecían de un manifiesto de privacidad válido, un requisito fundamental para informar a los usuarios sobre cómo se gestionarán sus datos.



Además, más del 6% de estas aplicaciones iOS solicitaron permisos privados, que son permisos potentes que podrían permitir un acceso profundo al sistema operativo y que nunca deberían estar disponibles para desarrolladores externos.

Para las empresas que permiten a sus empleados usar sus dispositivos personales para trabajar (políticas BYOD o Bring Your Own Device), estas VPN inseguras pueden convertirse en el punto más débil, poniendo en riesgo innecesario los datos confidenciales de la empresa. En definitiva, cuando se trata de VPN móviles gratuitas, lo que se supone que protege la privacidad puede ser, en realidad, el mayor riesgo para los datos.

"Las organizaciones necesitan una respuesta multicapa. La visibilidad y la gestión de los endpoints son fundamentales. Algunas organizaciones evaluarán el riesgo y lo abordarán mediante la lista de aplicaciones permitidas, mientras que otras podrían preferir un enfoque más permisivo. Sin embargo, lo que se está convirtiendo rápidamente en un requisito es la seguridad de los datos a nivel de contenido web", afirmó Brandon Tarbet, director de TI y Seguridad de Menlo Security.

"Esta necesidad se ve subrayada por la forma en que los proveedores de VPN personales posicionan y comercializan las supuestas ventajas de seguridad de sus productos", advirtió Tarbet. Existe una necesidad real de protección de datos a nivel de contenido, y un mercado que desea poder confiar en su conexión a sitios web y servicios. La clave está en cambiar de una mentalidad de seguridad perimetral (como con las VPN) a una protección a nivel de contenido que funcione incluso cuando la visibilidad tradicional se ve comprometida, instó.

Fuente:
HackRead
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Excelente post, estimado. Muchas gracias por compartir. Desde mi punto de vista, yo creo que hasta las VPN de pago, filtran nuestros datos. Porque lo que realmente las hace atractivas, es lo que ofrecen, seguridad y privacidad, y es eso justamente lo que le interesa a los gobiernos y entes que pagarían cualquier cifra, por tener esa preciada información.