Site icon Sophos News

7 VPN que filtraron sus registros, registros que “no existían”

“VPN” se ha convertido en una palabra por derecho propio, y es un mercado saturado de empresas que se anuncian online, en televisión e incluso en medios impresos.

La mayoría de las VPN tienen una versión gratuita que se puede descargar, pero generalmente se necesita una suscripción de pago para que funcione o para desbloquear servicios premium.

La aplicación codificará todo el tráfico de red entre tu dispositivo y los servidores de la empresa, lo descifrará y lo lanzará a Internet desde allí, tal vez incluso en un país diferente, lo que realmente oculta la verdadera fuente de sus paquetes de datos y, por lo tanto, hace que sea más difícil de rastrear.

Pero la conexión con la privacidad y, por asociación, con el anonimato, proviene del hecho de que VPN es la abreviatura de red privada virtual. En verdad, la parte “privada” de una VPN no se trata realmente de que sea anónima o se pretenda hacer pasar por otra persona.

El P en VPN realmente se refiere a la idea de usar una red pública para transmitir tráfico que, en los viejos tiempos habría cruzado un circuito privado o una línea dedicada, y por lo tanto, se consideró y administró como parte de la LAN de la empresa, o red local de área.

De hecho, si alguna vez usaste tu VPN de empresa, y en esta era de confinamiento por el coronavirus, es muy probable que lo hayas hecho, sabrás que la VPN corporativa te obliga a identificarte correctamente, tal vez con una contraseña o un token 2FA, para que la empresa sepa quién eres antes de permitirte el acceso.

Tu tráfico está protegido de posibles mirones al atravesar la red pública, ya que las VPN usan cifrado para proteger los paquetes de red sin procesar, pero tu tráfico no es anónimo una vez que se encuentra dentro del castillo virtual de la red de tu empresa.

En resumen, la propia VPN sabe quién eres y ve lo que haces, incluso si no lo hacen los routers a través de los cuales viajan tus paquetes VPN cifrados.

Y eso es bueno, porque significa que solo estás compartiendo la red de la empresa con otras personas que se supone que están allí, en lugar de con un grupo aleatorio de desconocidos.

¿Qué pasa con los registros?

Como mencionamos anteriormente, las VPN comerciales pueden descifrar tu tráfico y mostrarlo en el Internet público lejos de donde se produce, de modo que no solo ocultan tu ubicación física (lo que de hecho mejora tu privacidad), sino que también te permiten cambiarla.

Para muchas personas, ese es el valor principal de un servicio VPN personal: les permite evitar la censura que pueden aplicar los ISP en su propio país, y también les permite evitar el llamado bloqueo geográfico que les impide ver programas de televisión y películas en el extranjero o acceder a otro contenido limitado por región.

Pero también significa que confían muchísimo en el proveedor de VPN, porque ese proveedor se convierte esencialmente en su nuevo ISP, por lo que debemos ser conscientes de hasta qué punto siguen (o no) la vigilancia y las leyes de los diversos países donde operan.

Muchas VPN dicen que “no guardan ningún registro en absoluto” y, por lo tanto, que no tendrían nada sobre ti que pudieran entregar a la policía, incluso si quisieran.

Pero muchos países tienen mecanismos legales mediante los cuales las autoridades, sin una orden judicial, dependiendo de la jurisdicción, pueden obligar a un proveedor de servicios no solo a comenzar a mantener registros para individuos específicos, sino también a guardar silencio sobre ese hecho, en otras palabras, mantienen registros de tu tráfico, pero no pueden avisarte por adelantado, y no pueden decírtelo incluso si lo preguntas.

Esta peculiaridad legal llevó a una tendencia, hace unos años, de los llamados “warrant canaries“, que eran como los canarios en las minas de carbón, que se utilizaban para advertir de la presencia  gases peligrosos al caer inconscientes. Las empresas publicaban regularmente avisos en páginas web o documentos para decir que actualmente no estaban bajo ningún tipo de orden de vigilancia. La idea era que eliminar el aviso de “mordaza negativa”, que sería esencialmente un requisito legal si se aplicara una orden de mordaza, actuaría como si la compañía hubiera agregado un aviso de “mordaza positiva”. Por lo tanto, esto cumpliría con la letra de la ley, pero no exactamente su espíritu. Este tipo de sofisma legal ya no se usa ampliamente, sobre todo porque resultó ser bastante confuso.

Por supuesto, algunas VPN asegurarán que esto no puede sucederles (y por lo tanto indirectamente a ti tampoco) porque sus empresas están registradas en países donde no existen tales disposiciones legales.

Pero cualquier VPN sabe dónde estás y, al menos en cierta medida, quién eres mientras usas el sistema, e incluso puede necesitar mantener una cantidad de registros en la memoria, datos efímeros, para usar el término técnico, para parte o la totalidad de cada sesión, solo para que el servicio funcione de manera fiable.

Lo que debes asumir, por lo tanto, es que cualquier cosa que sepan sobre tu tráfico con el fin de manejarlo mientras estás en línea nunca se guarda en ningún lugar permanente, ya sea por accidente o por diseño.

Y la historia sugiere que los datos efímeros, cosas que deberían evaporarse para siempre de la memoria una vez que ya no se necesitan y nunca se escriben en el disco o se reenvían a otro servidor, tienden a sobrevivir cuando no deberían.

Después de todo, recientemente, tanto Google como Facebook admitieron que, a veces, las contraseñas que se introducen durante el proceso de inicio de sesión, datos que se suponía que solo se guardarían en la RAM y se eliminarían después de validarlos, se habían enviado accidentalmente en texto sin formato y guardado en archivos de registro en sus respectivos sistemas.

Facebook descubrió en 2019 que había comprometido cientos de millones de contraseñas, y comenzó a buscarlas y purgarlas; Google también admitió que había estado guardando incorrectamente algunas contraseñas; no sabemos cuántas, pero sabemos que los datos se remontan durante 14 años a 2005.

En otras palabras, guardar lo que no se puede guardar es fácil de hacer, incluso si realmente te has propuesto no hacerlo, e incluso si son dos de las empresas más grandes que existen en Internet, con equipos de ciberseguridad grandes y bien financiados.

¿Qué pasó esta vez?

Según un informe publicado la semana pasada por VPNMentor (nota: VPNMentor obtiene ingresos de enlaces de afiliados y cupones para empresas VPN seleccionadas), sus investigadores se toparon con abundantes registros de usuarios de siete VPN que operan desde Hong Kong.

(VPNMentor nombró los servicios afectados de la siguiente manera: UFO VPN, FAST VPN, Free VPN, Super VPN, Flash VPN, Secure VPN, Rabbit VPN).

Una investigación adicional sugiere que estos siete productos provienen de un solo proveedor principal. El software y los servicios de TI a menudo se venden de esta manera, con el mismo código (o muy similar) y sistemas de fondo que forman el núcleo de las ofertas de varios concesionarios diferentes.

Como probablemente ya hayas adivinado, no se suponía que estos datos fueran accesibles al público, sino que se expusieron a través de una base de datos en la nube, ElasticSearch, en este caso, que no se había configurado correctamente.

Según VPNMentor, se expusieron alrededor de mil millones de entradas de bases de datos relacionadas con aproximadamente 20 millones de usuarios (lo que representa un promedio de 50 elementos por usuario), incluidos varios campos de datos que incluyen:

Registros de actividad, nombre, correo electrónico, domicilio, contraseñas en texto sin cifrar, información de pago de Bitcoin, mensajes de soporte, información del dispositivo personal, especificaciones técnicas, información de la cuenta, enlaces directos al API de Paypal.

Entonces, estas VPN no solo recopilaron datos que no deberían haber retenido en absoluto, como las contraseñas de texto sin formato, sino que, sin darse cuenta, los expusieron públicamente.

Además, VPNMentor afirma que “de acuerdo con sus respectivos sitios web, cada VPN [de la lista] proporciona características de seguridad de grado militar y políticas de cero registros para reforzar la seguridad de la información de sus usuarios”.

Sin embargo, parece que no siguen en absoluto la política de “cero registros”.

Exit mobile version