Un análisis de las 30 VPNs de pago más populares de Android revela que más de la mitad sufre fugas de datos
Los expertos de Top10VPN han realizado un análisis sobre la seguridad de las 30 aplicaciones de VPN de pago más populares de Android. En general, el estudio demuestra que las VPN de pago son más confiables que las apps gratuitas, no obstante, el estudio ha revelado también algunas fugas de seguridad en determinados servicios de VPN, que mencionaremos a continuación.
Tras analizar las 30 VPNs de pago más populares para smartphone, que reúnen entre todas más de 732 millones de descargas en todo el mundo en la Play Store, ha quedado de manifiesto que el hecho de ser de pago no es siempre indicativo de que la app esté libre de fallos.
Aunque los riesgos de seguridad encontrados son menos graves que aquellos que detectaron en un previo estudio similar sobre VPNs gratuitas, sí que han detectado fugas de datos de carácter leve en 16 de las VPN estudiadas. En concreto, 15 VPN delataban su uso por parte de los usuarios debido a la falta de cifrado SNI, y 7 aplicaciones VPN filtraron solicitudes DNS en condiciones muy específicas.
Por otro lado, 3 aplicaciones VPN compartieron datos de una forma que pone en riesgo la privacidad del usuario, ya sea a través del seguimiento de anuncios (2 VPN) o malas prácticas (1 VPN). También destaca el uso de servidores DNS de terceros, ya que 7 VPN comprometen potencialmente la privacidad del usuario al no operar sus propios servidores DNS, incluidas 2 VPN que utilizan servicios distintos de Google/Cloudflare.
Otras debilidades detectadas en algunas de estas VPN de pago eran las relacionadas con inestabilidad del túnel, y un uso invasivo mediante permisos de hardware o software del dispositivo. Así, unas 6 aplicaciones VPN solicitaron permisos de alto riesgo que no se podían justificar en función de las características de su producto, como ubicación (4 VPN), cámara (2) y lectura del estado del teléfono (1), mientras que 4 aplicaciones VPN tienen acceso a elementos de hardware arriesgados, como cámaras, micrófonos y GPS.
Las VPN con fallos detectados
Las VPN que mostraron tener fugas de DNS (aunque solo consultas de DNS específicas) son:
- hide.me VPN: The Privacy Guard
- PrivateVPN
- TunnelBear VPN
- Astrill VPN
- Avira Phantom VPN: Fast VPN
Por otro lado, las apps de VPN con SNI (indicador del nombre del servidor) visible en lugar de oculto (y que por tanto revelan a otros el hecho de estar usando una VPN) son:
- Surfshark: Secure VPN service
- Private Internet Access VPN
- PureVPN – Fast and Secure VPN
- PrivadoVPN – VPN App & Proxy
- HMA VPN Proxy & WiFi Security
- Hotspot Shield VPN: Fast Proxy
- PrivateVPN
- Private & Secure VPN: TorGuard
- Mozilla VPN – Secure & Private
- TunnelBear VPN
- KeepSolid VPN Unlimited
- VyprVPN: Ultra-private VPN
- X-VPN – Private Browser VPN
- Avira Phantom VPN: Fast VPN
- PandaVPN Pro – Fast Secure VPN
Las VPN más seguras
Entre las VPN que no han mostrado signos de debilidad en este estudio encontramos servicios como los de NordVPN, ExpressVPN o Windscribe VPN. En concreto, NordVPN demuestra ser una de las más seguras en tanto que usa resolución de DNS propia (en lugar de terceros), oculta el SNI y no presenta fugas de DNS. NordVPN tampoco comparte información delicada como correo electrónico o marcadores publicitarios, y tampoco solicita permisos invasivos sobre el teléfono, como permisos sobre la cámara o archivos.
En general, las VPN de pago incluyen en su código muchos menos rastreadores publicitarios que las VPN gratuitas.
Según ha explicado Simon Migliano, director de investigación de top10VPN, a ADSLZone: «Si puedes permitírtelo, pagar por una VPN casi siempre es mejor que usar un servicio gratuito. La única forma en que una VPN gratuita puede cubrir sus costos operativos y generar ganancias para sus desarrolladores es recolectando tus datos y vendiéndolos a los anunciantes. Tu tarifa de suscripción le permite a su proveedor de VPN invertir continuamente en su red de servidores, lo que le brinda más opciones y menos congestión, y en mejorar su software», asegura Migliano.