No todos los servicios VPN premium protegen su privacidad por igual, y más de la mitad de los servicios más populares sufren algún tipo de fuga de datos. Al menos tres aplicaciones también compartieron su información personal “de una manera que comprometió la privacidad del usuario”.
Estos son los principales hallazgos de Nueva investigación realizada por Top10VPN Basado en los 30 proveedores premium más populares para dispositivos Android. Estos incluyen algunos Mejor VPN Aplicaciones en el mercado, p.e. NordVPN, ExpressVPN, VPN de protonesy tiburón surfista.
“No quiero exagerar el nivel de riesgo. Para la mayoría de los usuarios, es bastante bajo, pero depende de su modelo de amenaza”, dijo a TechRadar Simon Migliano, jefe de investigación de Top10VPN, refiriéndose a Avira Phantom VPN y FastestVPN. Como pagado VPN de Android Para evitar “absolutamente”.
Fallo de privacidad de las aplicaciones VPN pagas de Android
Como se mencionó anteriormente, Migliano realizó pruebas en las 30 VPN más pagas para Android para identificar posibles problemas de seguridad dentro de las aplicaciones: puede encontrar La lista completa de servicios analizados está aquí.
Estas pruebas se centraron en diferentes áreas: DNS y otros Fuga de datosCifrado VPN, estabilidad del túnel VPN, permisos de aplicaciones riesgosos, uso riesgoso de funciones de hardware del dispositivo y recopilación e intercambio de datos.
El hallazgo más sorprendente para Migliano fue que la mitad de las VPN mejor pagadas probadas (15) no lograron garantizar el cifrado SNI (Indicación de nombre de servidor) para todas las conexiones de servidor realizadas por las aplicaciones. SNI es una extensión de protocolo TLS El cliente debe indicar el nombre de host del servidor al que intenta conectarse durante el proceso de protocolo de enlace.
Si bien esta filtración puede ser relativamente menor para la mayoría de las personas, “es un error que podría causarle a alguien problemas en su escuela o lugar de trabajo si las VPN no están permitidas en la red, o incluso en problemas legales en algún lugar como Turquía o China”. Se utilizan, añadió, “están sujetos a una fuerte censura”.
Según los datos de Migliano, Surfshark, Acceso privado a Internet (PIA) y VPN privada Algunas aplicaciones seguían ignorando el cifrado SNI.
¿Sabías?
A Red privada virtual (VPN) Es un software de seguridad que cifra su conexión a Internet para evitar que terceros accedan a sus datos en tránsito y espíen sus actividades en línea. Al mismo tiempo, también falsifica su dirección IP real para lograr el máximo anonimato, lo que le permite acceder a contenido restringido geográficamente.
Al menos siete VPN de Android también filtraron solicitudes de DNS, lo que significa que el dispositivo solicita a un servidor del sistema de nombres de dominio que proporcione una dirección IP para un nombre de host en particular.
Nuevamente, estas filtraciones de datos no son críticas y sólo ocurren en circunstancias muy específicas, por lo que no serán un gran problema para la mayoría de los usuarios. Sin embargo, Migliano cree que “una VPN correctamente configurada debería terminar todas las conexiones de red existentes para evitar que esto suceda”.
Por este motivo, si la navegación privada es fundamental para usted, le sugiere evitar las VPN afectadas por este problema, concretamente HMA. VPN privada, Mozilla VPN, Privado, VyprVPN, X-VPN y Avira Phantom.
FastestVPN fue otro gran no para Migliano en este frente. “Nunca podría recomendar FastestVPN después de que expusiera mi dirección de correo electrónico en texto claro en los encabezados de solicitud del servidor a la API de geolocalización, lo cual es imperdonable”, dijo.
Si bien el método es mejor que VPN gratuita La recopilación e intercambio de aplicaciones y datos también puede ser un problema para algunos proveedores. Migliano descubrió que siete de las 30 aplicaciones analizadas plantean un riesgo potencial para la privacidad debido al código de seguimiento integrado de anunciantes y corredores de datos. Sin embargo, sólo dos VPN (VPN Unlimited y Hotspot Shield) han sido declaradas culpables de compartir datos en la práctica, mientras que X-VPN utilizó prácticas deficientes para compartir datos.
El cifrado VPN para servicios pagos fue en general bueno. Sin embargo, mientras que siete aplicaciones no pudieron utilizar la última versión de TLS para crear un túnel VPN (AES-256), Avira Phantom aprovechó el protocolo SSLv2 obsoleto que, como señaló Migliano, durante mucho tiempo se ha considerado inseguro.