7 apps gratuitas VPN exponen datos de 20 millones de personas

Se les llama VPN, siglas de Virtual Private Networks o redes virtuales privadas. Y sirven para mantener en secreto tu ubicaci¨®n geogr¨¢fica, permiti¨¦ndote acceder a webs que hayan sido bloqueadas o censuradas por no estar dentro de tu ¨¢mbito geogr¨¢fico. Instalando una app que permita crearlas podemos evitar webs y rastreadores online al tiempo, lo que la convierte en muy ¨²til para por ejemplo acceder a sites americanos que tengan descuentos por el Black Friday por ejemplo.

7 apps VPN gratis hackeadas

Una VPN nos da adem¨¢s herramientas que nos permiten cifrar nuestra conexi¨®n a Internet para proteger la direcci¨®n IP, historial de navegaci¨®n y otros datos personales cuando estemos en l¨ªnea, usemos aplicaciones o nos conectemos a un WiFi. Por ello conoce datos privados de sus usuarios. Datos que se supone no revela. Al menos hasta ahora, ya que 7 aplicaciones gratuitas VPN han expuesto informaci¨®n privada de cerca de 20 millones de usuarios, como correos electr¨®nicos, contrase?as o direcciones IP.

El equipo de investigaci¨®n de vpnMentor, dirigido por Noam Rotem, descubri¨® el servidor y encontr¨® datos de Informaci¨®n de Identificaci¨®n Personal (PII) de potencialmente m¨¢s de 20 millones de usuarios de VPN, de acuerdo con las afirmaciones de los n¨²meros de usuario hechas por las VPNs.

?Cada una de estas VPN afirma que sus servicios son VPN "sin registro", lo que significa que no registran ninguna actividad de los usuarios en sus respectivas aplicaciones. Sin embargo, ¡°encontramos m¨²ltiples instancias de registros de actividad en Internet en su servidor compartido. Nuestro equipo encontr¨® entradas dentro de la base de datos expuesta que conten¨ªan muchos datos personales sobre los usuarios e informaci¨®n t¨¦cnica sobre los dispositivos en los que se instalaron las VPNs", incluyendo:

Seg¨²n los expertos, las VPNs expuestas en esta fuga ¡°comparten el mismo desarrollador, basado en los siguientes hallazgos¡±:

- Las VPNs comparten un servidor com¨²n de Elasticsearch

- Est¨¢n alojados en los mismos activos

- Tienen un ¨²nico destinatario de los pagos, Dreamfii HK Limited

- Al menos tres de las VPNs en el servidor comparten marcas casi id¨¦nticas en sus sitios web.

Utilizando los datos PII expuestos a trav¨¦s del servidor de ElasticSearch, los hackers maliciosos y los ciberdelincuentes podr¨ªan crear campa?as de phishing muy eficaces dirigidas a los usuarios de las aplicaciones VPN expuestas. Las VPN afectadas son:

- UFO VPN

- FAST VPN

- Free VPN

- Super VPN

- Flash VPN

- Secure VPN

- Rabbit VPN

Crear campa?as de phishing con esos datos

Una campa?a de phishing implica el env¨ªo de correos electr¨®nicos falsos a un objetivo, imitando un negocio real. Estos correos electr¨®nicos tienen como objetivo enga?ar a las v¨ªctimas para que proporcionen datos financieros confidenciales, como detalles de tarjetas de cr¨¦dito, o que hagan clic en un enlace incrustado con software malicioso como malware y programas de rescate.

Utilizando los datos de pago filtrados de los m¨¦todos de pago de Paypal o Bitcoin, hay suficiente para que un ladr¨®n digital entrenado se aproveche de las finanzas de los usuarios de estas VPNs a trav¨¦s de estas plataformas.

Si alguno de los planes delictivos descritos anteriormente tuviera ¨¦xito, el impacto en la vida personal y el bienestar financiero de la v¨ªctima podr¨ªa ser devastador, especialmente durante una pandemia mundial, con tanta incertidumbre, un desempleo creciente y una recesi¨®n inminente.

Poco inter¨¦s por resolver el problema

Seg¨²n VPNmentor, inicialmente el 5 de julio ¡°contactamos con el servicio de atenci¨®n al cliente de las empresas que comercializan cuatro de las VPN, junto con los desarrolladores de las propias VPN":

- Dreamfii HK Ltd (UFO VPN)

- Mobipotato HK Limited (FAST VPN)

- Starxmobi HK Ltd (Free VPN)

- Nownetmobi (Super VPN).

Mobipotato respondi¨® r¨¢pidamente pero parec¨ªa ¡°no ser consciente de los problemas que conlleva un servidor no seguro - especialmente uno que contiene informaci¨®n que se supone que no deber¨ªan estar registrando - y no entend¨ªa qu¨¦ son 'PIIs y sus afecciones'. Enviamos dos respuestas a la compa?¨ªa en dos ocasiones pero no recibimos ninguna otra comunicaci¨®n¡±.

El 7 y el 9 de julio, VPNmentor intent¨® contactar con numerosas personas en Dreamfii, los desarrolladores de UFO VPN, ¡°sin ¨¦xito". Tambi¨¦n contactamos con HKCERT para notificarles la fuga¡±, recibiendo la siguiente respuesta de HKCERT el 13 de julio:

"Hemos notificado a la ASN la IP que mencion¨® para su seguimiento. Dado que el pa¨ªs de la localizaci¨®n de la IP es EE.UU., y el registro que usted proporcion¨® no puede mostrar que la informaci¨®n est¨¢ relacionada con Hong Kong. ?Podr¨ªa por favor contactar a US-Cert para ayuda o proporcionar m¨¢s informaci¨®n que indique que el incidente de la fuga de datos est¨¢ relacionado con Hong Kong?"

La compa?¨ªa hizo dos intentos m¨¢s de contactar directamente a las personas que trabajan en Dreamfii, incluyendo al Director de la Compa?¨ªa.

Haber evitado la filtraci¨®n

Los desarrolladores de estas VPN podr¨ªan haber evitado f¨¢cilmente esta fuga si hubieran tomado algunas medidas de seguridad b¨¢sicas para proteger la base de datos. Estas incluyen, pero no se limitan a: