Vivir en un estado autoritario y aún por querer obtener información objetiva sobre las condiciones en su país no es una tarea fácil. Los medios de comunicación de la oposición a menudo están prohibidos, y los sitios web extranjeros se bloquean con frecuencia.
Para cientos de millones de usuarios, las conexiones VPN, que son abreviadas de redes privadas virtuales, son la solución a medida que las direcciones IP se anonimizan y el contenido está encriptado. Esta combinación permite a los usuarios acceder a sitios web bloqueados y ejercer su derecho a la libertad de prensa e información.
Esta es la razón por la cual las VPN son ilegales, o al menos muy restringidas, en países como China, Rusia, Bielorrusia, Irán y Corea del Norte. Las personas que los usan en estos estados lo hacen en secreto y esperan que su proveedor maneje los datos resultantes también discretamente.
Sin embargo, un estudio completo Por el Open Technology Fund, una organización sin fines de lucro independiente dedicada a promover la libertad global de Internet, recientemente ha revelado deficiencias alarmantes entre algunos proveedores de VPN. En el peor de los casos, estos riesgos podrían enviar a los usuarios a prisión.
Control chino
La lista de deficiencias comienza con estructuras de propiedad opacas. “Muchos servicios de VPN oscurecen su verdadera propiedad a través de estructuras corporativas complejas”, advierte el estudio. En otras palabras, a menudo no está claro quién realmente tiene influencia sobre estas empresas.
Las compañías innovadoras que conectan PTE, Autumn Breeze PTE y Lemon Clove PTE, por ejemplo, afirman estar registrados en Singapur. En realidad, están controlados por ciudadanos chinos desde China y, por lo tanto, están sujetos a leyes de control de información china, escriben los autores. “Muchas VPN establecieron compañías shell en países con leyes de retención de datos laxas”, dice el informe.
16 VPN calificados como ‘altamente problemáticos’
Además, las mismas compañías desarrollan numerosos servicios de VPN.
“Un pequeño número de empresas controlan una participación desproporcionada del mercado de VPN a través de soluciones de etiqueta blanca”, advierte el estudio. Una solución de etiqueta blanca es un producto desarrollado por un proveedor de terceros y luego vendido por otra compañía bajo su propia marca.
El estudio identificó ocho proveedores de VPN altamente problemáticos con 16 aplicaciones VPN y un total de más de 700 millones de descargas en la tienda Google Play que ocultan sus conexiones entre sí.
“Las aplicaciones distribuidas por estos proveedores también contienen problemas de privacidad y seguridad que ponen a los usuarios en riesgo de vigilancia”, advierten los autores del estudio.
Millones de usuarios potencialmente en riesgo
Entre las aplicaciones descritas como “muy preocupantes” se encuentran Turbo VPN, VPN Proxy Master, XY VPN y 3x VPN, navegación suave, cada una de las cuales se ha descargado 100 millones de veces de Google Play Store. Por lo tanto, cientos de millones de usuarios de Internet creen que están disfrutando de un nivel de seguridad que no existe.
“Ambos conjuntos de proveedores usan el Protocolo de túnel de Shadowsocks (que no está diseñado para confidencialidad) para construir el túnel VPN y afirmar que las conexiones de sus usuarios son seguras”, explica el estudio.
Además, Según el estudio “Quién posee, opera y desarrolla sus asuntos de VPN”, ambos grupos de proveedores usan el protocolo de Shadowsocks con contraseñas codificadas almacenadas en las aplicaciones, un grave defecto de seguridad. Los atacantes pueden leer estas contraseñas y, por lo tanto, descifrar y leer todas las comunicaciones.
Además, muchos proveedores alquilan servidores en centros de datos sin tener un control completo sobre el hardware. Y algunas aplicaciones VPN recopilan en secreto datos de ubicación, a pesar de que sus políticas de privacidad reclaman lo contrario.
¿Qué aplicaciones VPN se ven afectadas?
“Unfortunately, VPNs can also provide a false sense of security at best, and at worst, completely compromise privacy and security. In the case of Innovative Connecting, Autumn Breeze, Lemon Clove, Matrix Mobile, ForeRaya Technologies, Wildlook Tech, Hong Kong Silence Technology, and Yolo Mobile Technology Limited,” the study warns, adding that “any user of those applications is putting themselves at great risk, because the applications have serious privacy and security asuntos.”
En su lugar, los autores recomiendan usar VPN de pagoque generalmente se consideran más confiables y seguros. Por ejemplo, no se encontraron problemas serios de privacidad o seguridad con Lantern, Psiphon, Protonvpn o mullvad.
‘Desastroso para la seguridad de los usuarios’
“Es catastrófico para la privacidad y seguridad de esos usuarios”, dijo Benjamin Mixon-Baca, uno de los autores del estudio. “Sin siquiera considerar el país del usuario, las debilidades que identificamos indican que las VPN no proporcionan ninguna forma de privacidad o seguridad que contradice las afirmaciones hechas por estos proveedores en sus sitios web”, agregó.
“Los usuarios tienen una falsa sensación de seguridad porque un actor de amenaza de estado-nación puede ver todo lo que los usuarios de estos productos están haciendo”, advirtió.
Mixon-Baca también señaló que esto constituye “una violación grave de la confianza del usuario”, teniendo en cuenta hasta qué punto algunos de los proveedores llegaron para ocultar su verdadera identidad y que, a pesar de sus afirmaciones de lo contrario, los proveedores realmente recopilaron información geográfica.
Llame a los operadores de la tienda de aplicaciones
“Los usuarios deben priorizar a los proveedores de VPN que demuestren plena transparencia sobre la propiedad, la infraestructura y la jurisdicción”, dijo Mixon-Baca. Las soluciones de código abierto y las auditorías independientes son indicadores clave de calidad.
Los autores también recomiendan encarecidamente que los operadores de la tienda de aplicaciones presten más atención a los defectos relacionados con la seguridad en su proceso de selección. De lo contrario, el icono VPN disponible en Google Play Store ofrece a los usuarios una falsa sensación de seguridad.
Último resort: Tor Browser
Sin embargo, para Mixon-Baca, la contradicción fundamental cuando se trata de soluciones VPN sigue sin abordar. “La privacidad y la seguridad, que es lo que la gente espera o piensa que están obteniendo de estos productos, están directamente en desacuerdo con la publicidad y ganando dinero. Lo que descubrimos y otros también han encontrado es que cuando mezcla la privacidad con la publicidad para ganar dinero, las cosas no terminan bien”.
En su opinión, una solución VPN financiada con fondos públicos similar a la aplicación Signal Messenger sería excelente, pero no resolvería las limitaciones fundamentales en términos de protección de datos y seguridad. Cualquiera que realmente quiera estar seguro debería usar el navegador Tor, concluyó.
“Tor tiene limitaciones como cualquier cosa, pero si la privacidad es su principal preocupación, Tor es el rey de la colina”.
Este artículo fue escrito originalmente en alemán.
