Un informe alarmante publicado por Citizen Lab revela fallas de seguridad críticas en más de 20 aplicaciones VPN disponibles en Google Play Store, afectando a más de 972 millones de descargas. Esta investigación expone una red interconectada de proveedores VPN que compromete gravemente la privacidad y seguridad de millones de usuarios en todo el mundo.
Red oculta de proveedores VPN interconectados
La investigación descubrió que múltiples aplicaciones VPN aparentemente independientes están controladas por una red de empresas relacionadas entre sí. Tres proveedores principales registrados en Singapur – Innovative Connecting, Autumn Breeze y Lemon Clove – mantienen vínculos directos con ciudadanos chinos y emplean diversas técnicas para ocultar su verdadera estructura corporativa.
Entre las aplicaciones más populares identificadas se encuentran Turbo VPN, VPN Monster, VPN Proxy Master y Snap VPN, que juntas acumulan más de 330 millones de instalaciones. Estas aplicaciones comparten similitudes significativas en su código fuente y arquitectura técnica, sugiriendo un desarrollo coordinado bajo una misma entidad.
Fallas críticas en el protocolo Shadowsocks
El núcleo del problema radica en la implementación deficiente del protocolo Shadowsocks, originalmente diseñado para evadir la censura de internet en China, no para garantizar privacidad. Las vulnerabilidades identificadas incluyen:
El uso de algoritmos de cifrado obsoletos expone los datos transmitidos a posibles ataques de descifrado. Más preocupante aún, todas las aplicaciones analizadas contienen contraseñas idénticas codificadas directamente en el software, permitiendo a atacantes potencialmente interceptar y manipular el tráfico de usuarios.
Infraestructura compartida bajo múltiples marcas
Utilizando las contraseñas descubiertas, los investigadores confirmaron que los tres proveedores principales operan sobre una infraestructura técnica común. Este hallazgo demuestra definitivamente la conexión entre empresas que se presentan como independientes, cuestionando seriamente sus políticas de privacidad de datos.
Expansión de la red de proveedores sospechosos
La investigación identificó un segundo grupo de proveedores potencialmente conectados: Matrix Mobile PTE LTD, ForeRaya Technology Limited, Wildlook Tech PTE LTD, entre otros. Sus soluciones VPN, con más de 380 millones de descargas, exhiben vulnerabilidades similares y se conectan a los mismos servidores IP.
Adicionalmente, se identificaron dos proveedores adicionales – Fast Potato Pte. Ltd y Free Connected Limited – que implementan protocolos propietarios con problemas de seguridad comparables.
Recopilación encubierta de datos de usuarios
Además de las vulnerabilidades de cifrado, todas las aplicaciones examinadas recopilan secretamente información de ubicación de usuarios, violando los principios fundamentales de privacidad que supuestamente garantizan los servicios VPN. Esta práctica genera riesgos adicionales, especialmente para usuarios en países con restricciones de libertad en internet.
Conexiones con empresa china bajo sanciones
Los investigadores establecieron vínculos entre las tres empresas principales y Qihoo 360, una compañía china de ciberseguridad sancionada por Estados Unidos en 2020. Esta conexión plantea interrogantes adicionales sobre posible control gubernamental sobre datos de usuarios.
Las vulnerabilidades identificadas representan riesgos significativos para millones de usuarios que confiaron su privacidad digital a estas aplicaciones. Los expertos en ciberseguridad recomiendan encarecidamente evitar servicios VPN basados en Shadowsocks y realizar investigaciones exhaustivas sobre la reputación y documentación técnica de proveedores antes de instalar sus aplicaciones. Este caso subraya la importancia crítica de auditorías de seguridad independientes para aplicaciones móviles y la necesidad de controles más estrictos por parte de las plataformas de distribución de aplicaciones.
