Estudio de aplicaciones VPN gratuitas para Android detecta fugas de tráfico, datos sin cifrar y rastreo ~ Segu-Info

Investigadores sometieron 281 de las aplicaciones VPN gratuitas más populares
de Google Play Store a un nuevo sistema de pruebas y descubrieron que muchas
fallan en la función básica para la que se instala una VPN: mantener el
tráfico privado y seguro.

Las aplicaciones que presentaron al menos un problema se han instalado más de
2.400 millones de veces.

Los problemas son básicos, no complejos.

  • 29 aplicaciones permiten que el tráfico del usuario se filtre fuera del
    túnel cifrado, incluyendo las consultas DNS que revelan los sitios web
    visitados.
  • 61 aplicaciones envían datos en texto plano que cualquier persona que
    monitorice el tráfico en esa red puede leer.
  • Cinco de ellas envían el archivo de configuración de la aplicación sin
    cifrar, lo que permite a un atacante en la red redirigir la conexión a un
    servidor bajo su control.

El sistema, llamado MVPNalyzer, fue presentado en la conferencia de seguridad
NDSS en febrero de 2026 por investigadores de la Universidad de Michigan, la
Universidad de Nuevo México y el IIT Delhi.

Se trata de la versión móvil del estudio VPNalyzer, realizado anteriormente
por el mismo laboratorio para analizar el software VPN de escritorio. Los
investigadores lo describen como el primer marco de trabajo diseñado para
auditar de forma sistemática y repetida las aplicaciones VPN de Android.

Una VPN encapsula tu tráfico en un túnel cifrado, impidiendo que tu proveedor
de internet o un intruso en la red vean tu actividad. La contrapartida es que
la aplicación VPN ahora tiene acceso a todo el tráfico. No se elimina la
necesidad de confiar en alguien, sino que esa confianza se traslada del
proveedor de internet al desarrollador de la aplicación.

El estudio se pregunta si estas aplicaciones se merecen esa confianza. Para
muchas, la respuesta es no.

El fallo más grave: el secuestro del túnel.

El hallazgo más preocupante se refiere a las cinco aplicaciones que descargan
su archivo de configuración sin cifrar. Este archivo indica a la aplicación a
qué servidor conectarse. Si se transmite en texto plano, un atacante en la
misma red, por ejemplo, un operador de Wi-Fi público, puede modificarlo
durante la transmisión y redirigir la aplicación a un servidor bajo su
control.

El usuario se conecta, ve la pantalla habitual de «conectado» y todo se
redirige a través del atacante. Los investigadores crearon este ataque y
confirmaron que funcionaba en teléfonos bajo su control.

Indicaron el problema como prioritario para los cinco proveedores. Dos
respondieron, prometiendo trasladar el archivo a HTTPS. Uno afirmó que
enviaría los archivos de configuración «de forma segura mediante HTTPS con la
validación de certificado adecuada». Los otros tres no respondieron.

Filtraciones y aplicaciones que no ocultan nada

De las 29 aplicaciones, 24 filtraban tráfico DNS, exponiendo los sitios web
visitados por los usuarios a la red local; solo estas aplicaciones representan
aproximadamente 360 ​​millones de instalaciones. Seis filtraban todo el
tráfico de navegación fuera del túnel, y cuatro ejecutaban «túneles» sin
ningún tipo de cifrado, con algunas aplicaciones fallando en más de un
sentido.

Por otro lado, 169 aplicaciones no intentaban disimular su tráfico como si
fuera una VPN, por lo que un operador de red o un censor gubernamental puede
detectarlas y bloquearlas con herramientas básicas. Casi dos tercios de estas
aplicaciones anuncian que son capaces de sortear el bloqueo o el desbloqueo de
contenido restringido. Hacen la promesa y no hacen nada para cumplirla.Para
alguien que vive en un país donde usar una VPN ya es arriesgado, ser
fácilmente identificado como usuario de VPN es justo lo contrario de lo que
esperaba.

Rastreo, incluso desde aplicaciones diseñadas para evitarlo

A menudo, las personas instalan VPN para evitar ser rastreadas. Sin embargo,
muchas de estas aplicaciones rastrean de todos modos. 76 enviaron el ID de
publicidad del dispositivo, un código único que los anunciantes usan para
seguir a una persona de una aplicación a otra.

El estudio reveló que más del 80% de las aplicaciones (246 en total) se
conectaron con servidores de publicidad y rastreo conocidos. Muchas también
enviaron detalles como el modelo del teléfono, la versión del sistema
operativo y el tamaño de la pantalla.

Por sí solos, estos datos parecen inofensivos, pero combinados, forman una
«huella digital» que puede identificar un dispositivo. Una aplicación incluso
envió las coordenadas GPS exactas del teléfono.

Configuraciones débiles

Los investigadores también analizaron los archivos de configuración de OpenVPN
incluidos con 108 de las aplicaciones, una verificación independiente de las
pruebas de tráfico en tiempo real mencionadas anteriormente. Solo una de ellas
cumplió con todas las buenas prácticas de seguridad evaluadas en el estudio.

Aproximadamente el 89% dependía de un único método de autenticación, ya fuera
contraseña o certificado, en lugar de combinar ambos. Casi uno de cada cinco
utilizaba cifrado débil u obsoleto, incluyendo el antiguo cifrado Blowfish y
el triple DES. Algunos configuraban el cifrado de datos del túnel como
«ninguno», lo que desactiva completamente el cifrado. Ambos cifrados antiguos
presentan vulnerabilidades conocidas desde hace tiempo (CVE-2016-6329 y
CVE-2016-2183) que permiten a un atacante recuperar datos de conexiones de
larga duración.

La mayoría de estos problemas tienen la misma raíz: las aplicaciones apenas
reciben mantenimiento y las comprobaciones automáticas de la Play Store las
permiten. Muchas aparecen entre los primeros resultados de búsqueda, donde las
etiquetas de seguridad de Google y su distintivo «Verificado» para
aplicaciones VPN pretenden ser una señal de confianza. El estudio afirma que
estas etiquetas funcionan más como señales de marketing que como una garantía
de seguridad real.

Esto no es un caso aislado.

Otras investigaciones recientes apuntan en la misma dirección. En agosto de
2025, investigadores del Citizen Lab de la Universidad de Toronto y de la
Universidad Estatal de Arizona descubrieron que varias aplicaciones VPN
populares para Android, con más de 700 millones de descargas combinadas,
estaban vinculadas secretamente, compartían contraseñas codificadas y
recopilaban datos de ubicación de forma encubierta.

En octubre de 2025, la empresa de seguridad móvil Zimperium informó que tres
de las aproximadamente 800 aplicaciones VPN gratuitas que analizó aún incluían
una versión de la biblioteca OpenSSL vulnerable a Heartbleed, un fallo
conocido que se corrigió en 2014. Muchas también solicitaban permisos de
acceso al teléfono que iban mucho más allá de lo necesario para una VPN.

Los tres estudios coinciden: las aplicaciones VPN gratuitas siguen combinando
una sólida promesa de privacidad con una ingeniería deficiente, y siguen
alcanzando millones de instalaciones antes de que nadie lo detecte.

Qué pueden hacer los usuarios

Los fallos más graves, la obtención de la configuración en texto plano y la
configuración débil del túnel, son invisibles para el usuario. No se pueden
detectar simplemente mirando la aplicación, y ahí radica el problema. Por lo
tanto, la verdadera defensa no reside en el protocolo que anuncia la
aplicación, sino en quién está detrás de ella.

Se ruega a los proveedores que publiquen una auditoría de seguridad
independiente reciente. Desconfíe de las aplicaciones gratuitas que le
bombardean con anuncios. Considere las afirmaciones de «verificado» o «sin
registros» como un punto de partida, no como una prueba.

Los investigadores enumeran todas las aplicaciones señaladas en el apéndice
del artículo, para que pueda comprobar si la que tiene en su teléfono se
encuentra entre ellas.

El equipo planea lanzar MVPNalyzer públicamente para que las tiendas de
aplicaciones y los reguladores puedan realizar estas comprobaciones por sí
mismos. Con esta evidencia, tendrán que hacerlo.

Se ha preguntado a Google si está revisando o eliminando las
aplicaciones señaladas, y cuál es su respuesta a la conclusión del estudio de
que las etiquetas de seguridad de Play Store y la insignia «Verificado»
funcionan más como marketing que como garantías de seguridad. También hemos
solicitado al equipo de investigación de MVPNalyzer que identifique las cinco
aplicaciones vulnerables al secuestro de túneles y que confirme si los
proveedores notificados han implementado soluciones. Esta noticia se
actualizará con cualquier respuesta que recibamos.

Fuente: THN


Ver fuente

Related Post