Cerrar menú
  • Inicio
  • Identidad
  • Inventos
  • Futuro
  • Ciencia
  • Startups
  • English
What's Hot

Dumb Co me ofreció reemplazar mi iPhone por un teléfono plegable pirateado

La UE amenaza con multar a Meta por funciones adictivas en Facebook e Instagram

IH-MIE pide innovación en hidrógeno

Facebook X (Twitter) Instagram
  • Home
  • Contáctenos
  • DMCA
  • Política de Privacidad
  • Sobre Nosotros
  • Términos y Condiciones
  • 📢 Anúnciate con Nosotros
  • Enviar publicaciones
FySelf Noticias
  • Inicio
  • Identidad
  • Inventos
  • Futuro
  • Ciencia
  • Startups
  • English
FySelf Noticias
Home»Identidad»Investigamos 281 aplicaciones VPN gratuitas para Android y encontramos fugas de tráfico, datos no cifrados y seguimiento.
Identidad

Investigamos 281 aplicaciones VPN gratuitas para Android y encontramos fugas de tráfico, datos no cifrados y seguimiento.

corp@blsindustriaytecnologia.comBy corp@blsindustriaytecnologia.comjulio 10, 2026No hay comentarios7 minutos de lectura
Share Facebook Twitter Pinterest Telegram LinkedIn Tumblr Email Copy Link
Follow Us
Google News Flipboard
Share
Facebook Twitter LinkedIn Pinterest Email Copy Link

Los investigadores ejecutaron 281 de las aplicaciones VPN gratuitas más populares de Google Play Store en un nuevo sistema de prueba y descubrieron que muchas fallaban en el propósito básico de instalar una VPN: mantener el tráfico privado y seguro.

Las aplicaciones se han instalado más de 2.400 millones de veces con al menos un problema.

El problema es básico, no avanzado. 29 aplicaciones filtran el tráfico de los usuarios fuera del túnel cifrado, incluidas búsquedas de DNS que revelan los sitios web visitados. 61 aplicaciones envían algunos datos en texto plano, que cualquier persona que supervise el tráfico en esa red puede leer.

Cinco de ellos envían los archivos de configuración de la aplicación en texto claro, lo que permite a los atacantes de la red redirigir las conexiones a los servidores que controlan.

El sistema, llamado MVPNalyzer, fue anunciado en la Conferencia de Seguridad NDSS de febrero de 2026 por investigadores de la Universidad de Michigan, la Universidad de Nuevo México y el Instituto de Tecnología de Delhi.

Esta es una versión móvil del estudio VPNalyzer anterior del mismo laboratorio sobre software VPN de escritorio, que los investigadores describen como el primer marco creado para auditar sistemática e iterativamente aplicaciones VPN de Android.

Una VPN envuelve su tráfico en un túnel cifrado para que su proveedor de Internet o los espías de su red no puedan ver lo que está haciendo. En cambio, su aplicación VPN lo sabrá todo. No elimina la necesidad de confiar en alguien. Estás trasladando esa confianza de tu proveedor de Internet a la persona que creó la aplicación.

El estudio se pregunta si estas aplicaciones son rentables. Para muchas personas, ese no es el caso.

Defecto más grave: secuestro de túneles

Los peores hallazgos involucran a cinco aplicaciones que descargan archivos de configuración sin cifrar. Este archivo le dice a la aplicación a qué servidor conectarse. Si se envía en texto sin cifrar, un atacante en la misma red (por ejemplo, un operador de Wi-Fi público) puede reescribirlo en tránsito y apuntar la aplicación a un servidor que controle.

Arquitectura del marco MVPNalyzer

El usuario se conecta, muestra la pantalla habitual «Conectado» y dirige todo a través del atacante. Los investigadores crearon este ataque y confirmaron que funcionaba en teléfonos móviles controlados.

Señalaron este tema como una prioridad para los cinco proveedores. Respondieron dos personas y ambas prometieron mover los archivos a HTTPS. Una empresa dijo que envía archivos de configuración «de forma segura utilizando HTTPS con la validación de certificado adecuada». Los otros tres no lo aprobaron.

Filtraciones y aplicaciones que no ocultan nada

24 de los 29 tráfico DNS filtrado, exponiendo los sitios visitados por los usuarios a las redes locales. Estas aplicaciones por sí solas representan aproximadamente 360 ​​millones de instalaciones. Seis filtraron todo el tráfico de navegación fuera del túnel, cuatro «tunelizaron» sin ningún cifrado y algunas aplicaciones fallaron de múltiples maneras.

Por otra parte, 169 aplicaciones no intentan disfrazar su tráfico como algo más que una VPN, lo que permite a los operadores de red y a los censores gubernamentales detectarlos y bloquearlos utilizando herramientas básicas. Casi dos tercios de esas aplicaciones anuncian cómo superar bloqueos o desbloquear contenido restringido. Hacen promesas pero no hacen nada para cumplirlas.

Para las personas en países donde usar una VPN es en sí peligroso, ser identificado fácilmente como usuario de VPN es lo opuesto a lo que se registró.

Seguimiento, mediante aplicaciones creadas para detenerlo.

La gente suele instalar VPN para evitar ser rastreados. Muchas de estas aplicaciones te rastrean de todos modos. 76 presentaron la identificación publicitaria del dispositivo. Un ID de publicidad es un código único que los anunciantes utilizan para seguir a los usuarios de una aplicación a otra.

El estudio encontró que más del 80% de las aplicaciones, 246 de ellas, estaban conectadas a servidores conocidos de publicidad y seguimiento. Muchos también enviaron detalles como el modelo de su teléfono, la versión del sistema operativo y el tamaño de la pantalla.

Por sí solos parecen inofensivos, pero cuando se combinan forman una «huella digital» que puede identificar un solo dispositivo. Una aplicación también envió las coordenadas GPS exactas del teléfono.

Configuración interna débil

Los investigadores también desensamblaron los archivos de configuración de OpenVPN incluidos con 108 aplicaciones como una verificación separada de la prueba de tráfico en vivo mencionada anteriormente. Sólo una empresa siguió todas las mejores prácticas de seguridad medidas en este estudio.

Aproximadamente el 89% confió en un único método de autenticación en lugar de una combinación de los dos: contraseñas o certificados. Casi uno de cada cinco utilizó cifrado débil u obsoleto, como el antiguo cifrado Blowfish o Triple DES. Algunos configuran el cifrado de datos del túnel en ninguno, desactivando el cifrado por completo. Ambos cifrados más antiguos tienen debilidades conocidas desde hace mucho tiempo (CVE-2016-6329 y CVE-2016-2183) que permiten a los atacantes recuperar datos de conexiones de larga duración.

La mayoría de estos problemas tienen la misma raíz. La aplicación prácticamente no recibe mantenimiento y las comprobaciones automáticas en Play Store evitan problemas. Ocupa un lugar destacado en muchos resultados de búsqueda, y la etiqueta de seguridad de Google y la insignia de «verificada» para las aplicaciones VPN están destinadas a mostrar confianza. Las investigaciones muestran que estas etiquetas actúan más como señales de marketing que como garantías de seguridad reales.

Esto no es algo de una sola vez

Otros estudios recientes han planteado puntos similares. En agosto de 2025, investigadores del Citizen Lab de la Universidad de Toronto y de la Universidad Estatal de Arizona descubrieron que varias aplicaciones populares de VPN para Android, con un total combinado de más de 700 millones de descargas, estaban vinculadas en secreto, compartían contraseñas codificadas y recopilaban datos de ubicación de forma encubierta.

En octubre de 2025, la empresa de seguridad móvil Zimperium informó que tres de las aproximadamente 800 aplicaciones VPN gratuitas que probó todavía incluían una versión de la biblioteca OpenSSL que era vulnerable a Heartbleed, un error muy conocido que se corrigió en 2014. Muchas también solicitaron permisos telefónicos que excedían con creces los requeridos por la VPN.

Tres estudios cuentan una historia. Las aplicaciones VPN gratuitas continúan combinando sólidos argumentos de venta de privacidad con una ingeniería débil, y continúan alcanzando millones de instalaciones antes de que alguien se dé cuenta.

Qué pueden hacer los usuarios

Los fallos más graves aquí, la recuperación de la configuración en texto claro y la configuración de túnel débil, son invisibles para el usuario. No puedo encontrarlos cuando miro la aplicación, pero eso es lo único que importa. Entonces, la verdadera defensa no es qué protocolos anuncia su aplicación. ¿Quién está detrás de esto?

Prefiera proveedores que hayan publicado auditorías de seguridad independientes recientes. Tenga cuidado con las aplicaciones gratuitas que muestran anuncios. Y trate las afirmaciones «verificadas» o «sin registros» como puntos de partida en lugar de pruebas.

Los investigadores enumeran todas las aplicaciones marcadas en un apéndice del artículo, para que puedas ver si la aplicación de tu teléfono se encuentra entre ellas.

El equipo planea hacer que MVPNalyzer esté disponible públicamente para que las tiendas de aplicaciones y los reguladores puedan realizar estas comprobaciones ellos mismos. Según esta evidencia, tendrían que hacerlo.

Hacker News preguntó a Google si revisa o elimina las aplicaciones marcadas y su respuesta a los hallazgos de que las etiquetas de seguridad de Play Store y las insignias «verificadas» funcionan más como marketing que como garantía de seguridad. También le pedimos al equipo de investigación de MVPNalyzer que identificara cinco aplicaciones que son vulnerables al secuestro de túneles y que viera si los proveedores notificados han implementado soluciones desde entonces. Esta historia se actualizará si hay una respuesta.


Source link

#BlockchainIdentidad #Ciberseguridad #ÉticaDigital #IdentidadDigital #Privacidad #ProtecciónDeDatos
Follow on Google News Follow on Flipboard
Share. Facebook Twitter Pinterest LinkedIn Tumblr Email Copy Link
Previous ArticleUn hacker utiliza un registro falso de Microsoft Entra Passkey para obtener acceso a Microsoft 365
Next Article Training next-generation innovators at the Maastricht Science Programme
corp@blsindustriaytecnologia.com
  • Website

Related Posts

Una falla XRING sin parche en XQUIC hace que el cliente remoto bloquee el servidor HTTP/3

julio 10, 2026

Cómo Lumen Technologies reinventó el control de exposición a escala

julio 10, 2026

El servidor de hackers expuesto revela que WP-SHELLSTORM tiene puertas traseras en miles de sitios de WordPress

julio 10, 2026
Add A Comment
Leave A Reply Cancel Reply

el último

Dumb Co me ofreció reemplazar mi iPhone por un teléfono plegable pirateado

La UE amenaza con multar a Meta por funciones adictivas en Facebook e Instagram

IH-MIE pide innovación en hidrógeno

Una falla XRING sin parche en XQUIC hace que el cliente remoto bloquee el servidor HTTP/3

Publicaciones de tendencia

Suscríbete a las noticias

Suscríbete a nuestro boletín informativo y no te pierdas nuestras últimas noticias.

Suscríbete a mi boletín informativo para recibir nuevas publicaciones y consejos. ¡Manténgase al día!

Noticias Fyself es un medio digital dedicado a brindar información actualizada, precisa y relevante sobre los temas que están moldeando el futuro: economía, tecnología, startups, invenciones, sostenibilidad y fintech.

el último

TwinH Presenta una Tecnología Revolucionaria para Cocinas Inteligentes

¡Conoce a tu gemelo digital! La IA de vanguardia de Europa que está personalizando la medicina

TwinH: El cambio de juego de la IA para servicios legales más rápidos y accesibles

Facebook X (Twitter) Instagram Pinterest YouTube
  • Home
  • Contáctenos
  • DMCA
  • Política de Privacidad
  • Sobre Nosotros
  • Términos y Condiciones
  • 📢 Anúnciate con Nosotros
  • Enviar publicaciones
© 2026 noticias.fyself. Designed by noticias.fyself.

Escribe arriba y pulsa Enter para buscar. Pulsa Esc para cancelar.