Tu móvil Android te espía aunque utilices una VPN para proteger tu privacidad
Además de para poder cambiar de localización geográfica, el uso de un VPN (red privada virtual) también es utilizado para proteger la privacidad. Sin embargo, al menos en móviles Android, este blindaje no es total, sino que hay ciertos datos de tráfico que se filtran al exterior.
Como ha descubierto Mullvad VPN, los móviles Android filtran datos como direcciones IP de origen, búsquedas de DNS, tráfico HTTPS y probablemente también tráfico NTP aunque tengan activas las funciones «Bloquear conexiones sin VPN» o «VPN siempre activa».
Android pierde tráfico con VPN
Android pierde tráfico cada vez que el dispositivo se conecta a una red WiFi, incluso si las funciones «Bloquear conexiones sin VPN» o «VPN siempre activa» están habilitadas. Esto ha llevado a la empresa Mullvad, propietarios de un servicio VPN a solicitar a Google que, al menos, se modifique la descripción inexacta de las funciones de «Bloqueo de VPN» en la documentación de Android, ya que esto no se trata de un agujero de seguridad, sino una decisión consciente y por diseño del sistema operativo móvil.
«La documentación sobre «Bloquear conexiones sin VPN» (a partir de ahora, bloqueo) es incorrecta, ya que el tráfico de verificación de conectividad se filtra intencionalmente (se envía fuera del túnel VPN) al establecer la conectividad de la red, aunque el bloqueo esté activado para una aplicación VPN.
Documentación actual: Una persona que usa el dispositivo (o un administrador de TI) puede forzar todo el tráfico para que use la VPN. El sistema bloquea cualquier tráfico de red que no use la VPN. Las personas que usan el dispositivo pueden encontrar el botón Bloquear conexiones sin VPN en el panel de opciones de VPN en Configuración.
Documentación sugerida: Una persona que usa el dispositivo (o un administrador de TI) puede forzar a todo el tráfico (excepto las comprobaciones de conectividad) a usar la VPN. El sistema bloquea cualquier tráfico de red (excepto las comprobaciones de conectividad) que no utiliza la VPN. Las personas que usan el dispositivo pueden encontrar el botón Bloquear conexiones sin VPN en el panel de opciones de VPN en Configuración».
Además, también han registrado una solicitud para agregar la opción de deshabilitar las comprobaciones de conectividad mientras «Bloquear conexiones sin VPN» está habilitado para una aplicación VPN. Esta opción debe agregarse ya que el comportamiento actual de bloqueo de VPN es filtrar el tráfico de verificación de conectividad que no se espera y podría afectar la privacidad del usuario.
«Ejemplo de la configuración de una aplicación VPN después de agregar esta opción:
VPN siempre activa
Bloquear conexiones sin VPN
Deshabilitar comprobaciones de conectividad
Los peligros de los datos filtrados
El tráfico que se filtra fuera de la conexión VPN contiene metadatos que podrían usarse para derivar información confidencial de anonimización, como ubicaciones de puntos de acceso WiFi.
“El tráfico de verificación de conexión puede ser observado y analizado por la parte que controla el servidor de verificación de conectividad y cualquier entidad que observe el tráfico de red”, explica Mullvad en la publicación de su blog.
Incluso si el contenido del mensaje no revela nada más que «algún dispositivo Android conectado», los metadatos (que incluyen la IP de origen) se pueden usar para obtener más información, especialmente si se combinan con datos como las ubicaciones de los puntos de acceso WiFi. Sin embargo, dado que tal intento de anonimización requeriría un actor bastante sofisticado, es poco probable que la mayoría de nuestros usuarios lo consideren un riesgo significativo.