Una investigación reciente reveló que más de 20 aplicaciones de VPN en la Google Play Store —con más de 700 millones de descargas en conjunto— no son tan independientes como aparentan. Aunque se promocionan como servicios distintos, comparten la misma infraestructura y bases de código, lo que genera serias dudas sobre la transparencia en un sector cuyo propósito es proteger la privacidad.

El estudio, liderado por The Citizen Lab de la Universidad de Toronto, rastreó estas apps hasta solo tres grupos de VPN, algunos con conexiones a Rusia y China. A través de registros corporativos y análisis forense de APKs de Android, el equipo descubrió propiedad compartida y recursos tecnológicos en común detrás de estos servicios ampliamente utilizados.

Tres familias de VPNs

• Familia A: Vinculada a Innovative Connecting, Autumn Breeze y Lemon Clove, incluyó apps muy conocidas como Turbo VPN, VPN Proxy Master y Snap VPN, todas con código y activos digitales idénticos.
• Familia B: Asociada a Matrix Mobile, ForeRaya Technology y Wildlook Tech, controlaba XY VPN, 3X VPN y Melon VPN, que utilizaban las mismas direcciones de servidores.
• Familia C: Operada por Fast Potato y Free Connected Limited, gestionaba Fast Potato VPN y X-VPN.

Riesgos de seguridad detectados

Además de los vínculos ocultos, los investigadores hallaron vulnerabilidades críticas en estas aplicaciones:

• Algunas reutilizaban credenciales de acceso para ShadowSocks, una herramienta proxy usada para evadir cortafuegos.
• Varias implementaban algoritmos de encriptación obsoletos, exponiendo a los usuarios a riesgos innecesarios.
• Lo más grave: las tres familias eran vulnerables a ataques ciegos en el mismo canal (blind on-path attacks), lo que permitía que actores maliciosos en redes públicas, como el Wi-Fi de un café, interceptaran y manipularan el tráfico sin ser detectados.

Falta de control en las tiendas de aplicaciones

El hallazgo pone en evidencia las limitaciones de los procesos de revisión en las tiendas de apps. Actualmente, la validación se centra en detectar malware y verificar políticas de privacidad, pero no evalúa a fondo cómo están construidas las aplicaciones ni quiénes las operan.

Para mitigar este problema, los investigadores sugieren la creación de un sello de auditoría de seguridad para VPNs, que ayude a los usuarios a identificar servicios confiables y fomente una mayor rendición de cuentas en la industria.

Preguntas sin respuesta

Las técnicas de verificación de Google siguen siendo poco claras. Aunque los desarrolladores deben presentar políticas de privacidad, declarar prácticas de publicidad, obtener clasificaciones de contenido y detallar medidas de seguridad, estos requisitos no impiden las vulnerabilidades expuestas en el informe.

Hasta el momento, Google no ha respondido a las solicitudes de comentarios sobre su proceso de verificación de VPNs.

Fuente: https://mashable.com/article/researchers-find-secret-ties-vulnerabilities-in-popular-vpn-apps