Ya sea para acceder a contenidos bloqueados en una región o por una cuestión de privacidad, las VPN son un producto cada vez más popular entre los usuarios de internet. Pero hay que tener cuidado con ellas, especialmente si son gratis.
Los investigadores de VPNpro lograron hackear 10 de las VPN gratuitas más populares de Android, entre ellas SuperVPN Free, que tiene más de 100 millones de descargas en Google Play y es el quinto resultado al buscar “VPN”.
Cuando navegas a través de SuperVPN, algunas comunicaciones se realizan mediante una conexión HTTP no segura y, lo que es peor, contienen la clave criptográfica que permite descifrar las comunicaciones encriptadas.
Gracias a esta seria vulnerabilidad, VPNpro* obtuvo los certificados y credenciales del servidor de SuperVPN y logró reemplazarlos con datos falsos, lo que se conoce como un ataque de intermediario. Siguiendo un método similar, un atacante podría forzar a los usuarios a conectarse a un servidor malicioso y robar desde su historial de navegación hasta sus contraseñas, fotos y mensajes.
Un equipo de investigadores australianos ya había advertido sobre el peligro de SuperVPN en 2016, cuando solo tenía 10.000 descargas, pero SuperVPN no solo sigue disponible en Google Play, sino que acumula un número similar de descargas que otras aplicaciones muy famosas como Tinder y Aliexpress.
Ya sea un diseño deliberado (una puerta trasera para espiar a los usuarios sin ser detectado) o accidental (ineptitud del desarrollador, falta de interés en la seguridad del sistema…), la vulnerabilidad de SuperVPN se repite en otras VPN gratuitas con clientes populares en Google Play. VPNpro enumera 10, de las cuales cuatro han sido eliminadas recientemente. Lo barato sale caro, sobre todo si es un servidor por el que pasa todo lo que haces en internet.
(*) Técnicamente, VPNpro es un competidor de SuperVPN, por lo que podría no estar siendo objetivo con el estudio, pero sus investigadores cuentan con cierta autoridad. A principios de mes lograron que Google eliminara 24 aplicaciones maliciosas de Google Play. Con 382 millones de descargas, ocultaban malware o pedían permisos excesivos.
