Los tiempos están cambiando’. Cuando los usuarios alguna vez se sintieron libres de navegar por Internet de forma anónima, publicar sobre sus vidas más íntimas en las redes sociales y descargar aplicaciones con frivolidad, la gente está jugando cosas un poco más cerca del chaleco en estos días.

Hoy en día, los usuarios prestan más atención a la privacidad y a cómo se transmite, procesa, almacena y comparte su información personal. Casi todos los días, son bombardeados con noticias de violaciones de datos , abusos o negligencia de información personal por parte de gigantes tecnológicos, y la creciente sofisticación de las tácticas y estafas cibercriminales .

No es de extrañar que los usuarios de Internet estén buscando ciertas herramientas que les brinden mayor privacidad, y no solo seguridad, mientras navegan por la web, ya sea en casa, en la oficina o mientras viajan.

Si bien algunos podrían optar por Tor o un servidor proxy para abordar su necesidad de privacidad, muchos usuarios hoy en día adoptan redes privadas virtuales o VPN .

Dependiendo de a quién le pregunte, una VPN es cualquiera de estos: [1] un túnel que se encuentra entre su dispositivo informático e Internet, [2] lo ayuda a permanecer anónimo en línea, evitando la vigilancia gubernamental, el espionaje y la recopilación excesiva de datos de grandes empresas, [3] una herramienta que encripta su conexión y enmascara su verdadera dirección IP con una que pertenece a su proveedor de VPN, [4] un software o aplicación que le permite acceder a recursos privados (como archivos de la empresa en su intranet de trabajo) o sitios que generalmente están bloqueados en su país o región.

Sin embargo, no todas las VPN se crean de la misma manera, y esto es cierto independientemente de la plataforma que utilice. Del creciente número de aplicaciones VPN que ya existen, que actualmente se encuentra en cientos, un número notable de ellas se clasifican como inseguras, especialmente aquellas que son gratuitas.

En esta publicación, veremos más de cerca las VPN gratuitas para dispositivos móviles, una categoría que, según muchos, tiene la mayor cantidad de aplicaciones inseguras.

Pero primero, lo básico.

¿Cómo funcionan las VPN?

Rob Mardisalu de TheBestVPN ilustró un diagrama rápido de cómo funcionan las VPN, y es casi tan simple como parece.

Una simple ilustración VPN (Cortesía de TheBestVPN )

Normalmente, usar una VPN requiere la descarga e instalación de una aplicación o archivo que llamamos un cliente VPN. Instalar y ejecutar el cliente crea un túnel encriptado que conecta el dispositivo informático del usuario a la red.

La mayoría de los proveedores de VPN solicitan a los usuarios que se registren con una dirección de correo electrónico y una contraseña, que serían las credenciales de su cuenta, y ofrecen un método de autenticación, ya sea por SMS, correo electrónico o escaneo de códigos QR, para verificar que el usuario es realmente quien dice que son.

Una vez que esté completamente registrado y configurado, el usuario ahora puede navegar por Internet público de manera normal, pero con mayor seguridad y privacidad.

Digamos que el usuario realiza una búsqueda en su navegador o visita directamente el sitio web oficial de su banco. El cliente VPN encripta la consulta o los datos que ingresa el usuario. A partir de ahí, los datos cifrados van al proveedor de servicios de Internet (ISP) del usuario y luego al servidor VPN. El servidor luego se conecta a Internet público, señalando al usuario los resultados de la consulta o el sitio web bancario.

Independientemente de qué datos se envíen, el sitio web de destino siempre ve el origen de los datos como el servidor VPN y su ubicación, y no la dirección y ubicación IP del usuario. Aseado, ¿eh?

Lo que las VPN no hacen

Por muy reconfortante que sea el uso de VPN, tenga en cuenta que no pueden ser todo lo relacionado con la privacidad y la seguridad para todos los usuarios. Hay ciertas funciones que no pueden o no completarán, y esto no se limita al tipo de VPN que utiliza.

Aquí hay algunas restricciones a tener en cuenta. Las VPN no:

  • Ofrecer pleno anonimato. Mantenerlo en el anonimato debería ser inherente a todas las VPN disponibles en el mercado. Sin embargo, lograr el anonimato completo en línea usando VPN es casi imposible. Siempre habrá rastros de datos suyos que las VPN recopilan, incluso aquellos que no guardan registros, y por registros, nos referimos al historial de navegación, las direcciones IP, las marcas de tiempo y el ancho de banda.
  • Conectarte a la web oscura. Una VPN en sí misma no lo conectará a la web oscura si desea explorarla. Un navegador de cebolla , como el navegador Tor, puede hacer esto por usted. Y muchos están adoptando el uso de ambas tecnologías, con la VPN enmascarando el tráfico de Tor, por lo que su ISP no sabrá que está usando Tor, cuando navega por la web.
  • Ofrezca a los usuarios acceso completo a su servicio de forma gratuita. Siempre. Algunas VPN verdaderamente legítimas ofrecen sus servicios de forma gratuita durante un tiempo limitado. Y una vez que expira la fase de prueba, los usuarios deben decidir si pagarían por esta VPN o si buscarían algo más gratis.
  • Protegerte de la aplicación de la ley cuando te citan . Las VPN no se dejarán arrastrar a los tribunales si la policía tiene motivos para creer que está participando en actividades ilegales en línea. Cuando se convoca a los proveedores de VPN para que proporcionen evidencia de sus actividades de usuario, tienen cero razones convincentes para no cumplir.
  • Protegerte de ti mismo. Ninguna compañía antimalware que valga la pena recomendaría a los usuarios que visiten el sitio web que deseen, abran cada archivo adjunto de correo electrónico o hagan clic en todos los enlaces bajo el sol porque su producto de seguridad los protege. Tener cuidado en línea y evitar comportamientos riesgosos, incluso cuando se utiliza un producto de seguridad, sigue siendo una forma importante de protección contra la infección de malware o el intento de fraude. Los usuarios deben aplicar la misma vigilancia de seguridad cuando usan VPN.

¿Quién usa VPN y por qué?

Lo que comenzó como un producto exclusivo para las empresas para garantizar la seguridad de los archivos compartidos entre colegas de diferentes ubicaciones se ha convertido en una de las herramientas de acceso mundial para la privacidad personal y el anonimato.

Los usuarios promedio de Internet ahora tienen acceso a más de 300 marcas de VPN en el mercado, y pueden usarse para diversos fines.

Según los últimos hallazgos sobre el uso de VPN de la compañía de investigación de mercado GlobalWebIndex, las tres razones principales por las que los usuarios de Internet de todo el mundo usarían un servicio VPN son:

  1. para acceder a contenido de entretenimiento restringido por ubicación
  2. usar redes sociales y / o servicios de noticias (que también pueden tener restricciones de ubicación)
  3. para mantener el anonimato mientras navega por la web

Eso sí, estos no son nuevos. Estas razones han obtenido puntajes altos en muchos estudios de uso de VPN publicados anteriormente.

¿Qué te motiva a usar una VPN? Aquí están las principales razones. (Cortesía de GlobalWebIndex )

Los usuarios de los mercados emergentes son los principales usuarios de VPN en todo el mundo, particularmente Indonesia con un 55 por ciento, India con un 43 por ciento, Emiratos Árabes Unidos con un 38 por ciento, Tailandia con un 38 por ciento, Malasia con un 38 por ciento, Arabia Saudita con un 37 por ciento, Filipinas con un 37 por ciento , Turquía con 36 por ciento, Sudáfrica con 36 por ciento y Singapur con 33 por ciento.

El informe también señaló que entre los 40 países estudiados, los factores de motivación para usar VPN varían. A continuación se muestra una tabla resumen de esta relación:

La mayoría de los países, incluidos los EE. UU., Usan VPN para acceder a un mejor contenido de entretenimiento. Si bien esto revela que no todos los usuarios de VPN están preocupados por su privacidad, podemos deducir del gráfico cuáles son. (Cortesía de GlobalWebIndex)

Las aplicaciones VPN móviles son las más populares

Un par de conclusiones más interesantes del informe: la mayoría de los usuarios más jóvenes navegan por Internet con VPN, especialmente en dispositivos móviles. Los detalles son los siguientes:

  • La gran mayoría de los usuarios de Internet de entre 16 y 24 años (74 por ciento) y entre 25 y 34 (67 por ciento) usan VPN.
  • Los usuarios acceden a Internet utilizando VPN en dispositivos móviles, que en este caso incluyen teléfonos inteligentes (69 por ciento) y tabletas (33 por ciento).
  • El 32 por ciento usa VPN en dispositivos móviles casi a diario en comparación con el 29 por ciento a esta frecuencia en una PC o computadora portátil.

Con tantos usuarios (en su mayoría más jóvenes) que adoptan VPN móviles y de escritorio para ver contenido pago o reforzar la privacidad, no es de extrañar que los usuarios de Android e iOS a menudo opten por aplicaciones VPN móviles gratuitas en lugar de productos pagos que pertenecen a nombres más establecidos.

Pero analizar cientos de marcas no es tarea fácil. Y cuanto más investigas, más difícil es elegir. Para el usuario promedio, esto es demasiado trabajo cuando todo lo que quieren hacer es mirar Black Mirror en Netflix. Y es probable que por eso tantas aplicaciones inseguras lleguen al mercado y se instalen en los dispositivos móviles de los usuarios.

«Gratis» no significa «libre de riesgo»

Cuando se trata de cosas gratis en Internet, la mayoría de nosotros sabemos que realmente no obtenemos algo por nada. La mayoría de las veces, pagamos con nuestros datos e información. Si cree que esto no se aplica a las aplicaciones VPN móviles gratuitas, piénselo de nuevo.

«Hay un problema importante con las aplicaciones VPN gratuitas en Google Play y la App Store de Apple», dice Simon Migliano, jefe de investigación en Top10VPN , en una entrevista por correo electrónico. Explica además: “[V] pocos proveedores de VPN ofrecen transparencia sobre su aptitud para operar un servicio tan sensible. Las políticas de privacidad son en gran medida basura, mientras que el 25 por ciento de las aplicaciones sufren fugas de DNS y exponen su identidad. La mayoría está plagada de rastreadores de anuncios y, en el mejor de los casos, es un adware glorificado, en el peor, un spyware «.

En diciembre de 2018, Migliano publicó un informe de investigación sobre las 20 mejores aplicaciones VPN gratuitas en Android que aparece en las búsquedas de Google Play en el Reino Unido y EE. UU. Según el informe, más de las tres cuartas partes (86 por ciento) de estas aplicaciones VPN, que tienen millones de descargas, tienen políticas de privacidad que se consideran inaceptables: el uso de plantillas de políticas de privacidad genéricas que no tienen cláusulas específicas de VPN; las aplicaciones rastrean la actividad del usuario o comparten datos del usuario con terceros; y pocos detalles sobre las políticas de registro que, en su ausencia, «podrían inducir a las personas a [una] falsa sensación de seguridad», por nombrar algunas. La privacidad es solo una de las muchas preocupaciones que Top10VPN había descubierto.

Las principales aplicaciones VPN gratuitas dirigidas a usuarios de iPhone tienen problemas similares. De hecho, en un informe de investigación de seguimiento , el 80 por ciento de estos se consideraron no conformes con la Pauta 5.4, una nueva adición a las Pautas de revisión de la tienda de aplicaciones de Apple , que se introdujo hace un mes.

Apple dedicó esta subsección en la guía actualizada para aplicaciones VPN (énfasis nuestro).

Top10VPN también señaló que varias de las 20 mejores aplicaciones VPN en Android e iOS tienen vínculos con China.

Hubo otras investigaciones en el pasado sobre aplicaciones VPN móviles, tanto gratuitas como comerciales. Gracias a ellos, hemos visto mejoras a lo largo de los años, pero algunas de estas preocupaciones persisten. También tenga en cuenta la grave falta de conocimiento de los usuarios, lo que ayudó a que tales aplicaciones VPN gratuitas cuestionables tengan altas calificaciones, fomentando más descargas y posiblemente manteniéndolas en la cima de las filas.

En un informe de investigación exhaustivo de 2016 [PDF] publicado por la Organización de Investigación Científica e Industrial de la Commonwealth (CSIRO) junto con la Universidad de Gales del Sur y UC Berkeley, los investigadores revelaron que algunas aplicaciones VPN móviles, tanto de pago como gratuitas, filtran tráfico de usuarios (84 por ciento para IPv6 y 66 por ciento para DNS), solicitan datos confidenciales de los usuarios (80+ por ciento), emplean encriptación de tráfico cero (18 por ciento) y más de una cuarta parte (38 por ciento) usan malware o publicidad maliciosa .

La fuga de tráfico era un problema no exclusivo de las aplicaciones VPN gratuitas. Investigadores de la Universidad Queen Mary de Londres y la Universidad Sapienza de Roma descubrieron que incluso las aplicaciones VPN comerciales eran culpables del mismo problema. También descubrieron que las configuraciones de DNS de estas aplicaciones de VPN podrían saltarse usando tácticas de secuestro de DNS . Los detalles de su estudio se pueden ver en esta página de Semantic Scholar .

VPN gratis que se comportan mal

Los hallazgos de la investigación son una cosa, pero las organizaciones y las personas que encuentran y comparten sus experiencias sobre los problemas que rodean a las VPN gratuitas hacen que todo lo técnico en papel se vuelva real. Aquí hay ejemplos de eventos en los que las VPN gratuitas estaban (o continúan estando) bajo escrutinio y denunciaron su mal comportamiento.

La queja de Hotspot Shield. El desarrollador de la aplicación VPN móvil AnchorFree, Inc. estuvo en el centro de atención hace un par de años, y no por una buena razón. El Centro para la Democracia y la Tecnología (CDT), un grupo de defensa de los derechos digitales, presentó una queja [PDF] ante la FTC por “intercambio de datos no revelado y poco claro y redirección de tráfico que ocurre en Hotspot Shield Free VPN que debe considerarse comercio injusto y engañoso prácticas bajo la Sección 5 de la Ley FTC «.

La queja decía que se descubrió que Hotspot Shield inyectaba código JavaScript en los navegadores de los usuarios para publicidad y seguimiento, por lo tanto, también los exponía al monitoreo de las fuerzas del orden y otras entidades. La queja de CDT condujo a una denegación de las reclamaciones por parte del desarrollador de la aplicación y la consiguiente formación de su informe anual de transparencia .

HolaVPN atrapado con las manos en la masa. HolaVPN es una de las muchas aplicaciones VPN móviles reconocibles y gratuitas. En 2015, un spammer con el seudónimo de Bui comenzó un ataque de spam contra 8chan, que luego reveló que pudo hacerlo con la ayuda de Luminati, una conocida red de representantes y una compañía hermana de HolaVPN. Lorenzo Franceschi-Bicchierai señaló en su pieza de la placa base que el sitio web de Luminati se jactaba de tener «millones» de nodos de salida. Por supuesto, estos nodos eran todos usuarios gratuitos de HolaVPN.

En diciembre de 2018, la compañía AV, Trend Micro, reveló que encontraron evidencia de la antigua pandilla de delitos cibernéticos KlipVip (que se sabía que difundían software AV falso o rogueware ) usando Luminati para llevar a cabo lo que los investigadores creen que es una campaña de fraude publicitario a gran escala.

Innet VPN y Secnet VPN malvertising. En abril pasado, Lawrence Abrams de BleepingComputer alertó a los usuarios de iPhone de algunas VPN móviles que sacaban una página del libro falso de AV en promoción publicitaria: tácticas de miedo. Los usuarios que hicieron clic en un anuncio falso en sitios populares se encontraron con mensajes emergentes que alegaban que su dispositivo móvil estaba infectado o que estaban siendo rastreados.

Desafortunadamente, esa no fue la primera vez que sucedió esto, y puede que no sea la última. Nuestro propio Jérôme Segura vio de primera mano una campaña similar exactamente un año antes del informe de Bleeping Computer, pero estaba presionando a los usuarios a descargar una VPN llamada MyMobileSecure.

Las VPN no son intrínsecamente malas

A pesar de la evidencia indiscutible del lado sombrío de las aplicaciones VPN móviles gratuitas, el hecho es que no todas son malas. Esta es la razón por la cual es crucial para los usuarios móviles que actualmente usan o buscan usar un servicio VPN gratuito para realizar una investigación sobre qué marcas pueden confiar con sus datos y privacidad. Nadie quiere una aplicación que prometa una cosa, pero hace todo lo contrario.

Cuando los usuarios insisten en usar un servicio VPN gratuito, Migliano sugiere que deberían suscribirse a un servicio basado en el modelo freemium, ya que estas plataformas no tienen publicidad, por lo que mantiene la privacidad intacta. También ofreció preguntas útiles que los usuarios deben hacerse al elegir la mejor VPN que se ajuste a sus necesidades.

“Busque información sobre la empresa. ¿Son [sic] una compañía real con personas reales, con una dirección, número de teléfono y todas las cosas que las compañías normales tienden a tener? ¿Tienen una política de privacidad específica de VPN que explique sus políticas de registro y retención de datos? ¿Han tomado medidas para minimizar el riesgo de uso indebido de datos, como eliminar todos los registros del servidor en tiempo real, por ejemplo? ¿Tienen el soporte al cliente adecuado?

También ten cuidado con las revisiones de VPN. Pueden ser anuncios disfrazados.

Finalmente, los usuarios tienen la opción de optar por un servicio pago, que es un modelo de negocio que siguen la mayoría de los servicios de VPN móviles bien establecidos y legítimos. O pueden crear los suyos . Como no todos son lo suficientemente inteligentes como para hacer lo último, lo primero es la siguiente opción lógica. Migliano está de acuerdo.

«Lo mejor que puedes hacer es pagar por una VPN», dijo. “Cuesta dinero operar una red VPN y, por lo tanto, si no paga directamente, sus datos de navegación se monetizan. Esto es claramente una cruel ironía dado que una VPN está destinada a proteger la privacidad de un usuario «.