Las VPN gratuitas son una pesadilla para la privacidad. No deberías descargarlos

Lo estamos utilizando para obtener servicios de Internet de forma gratuita. Pero incluso si está feliz de intercambiar sus datos y vistas de publicidad por correo electrónico, almacenamiento en la nube u optimización de imágenes, es posible que desee pensar nuevamente antes de elegir un servicio gratuito de red privada virtual (VPN) al azar en Play Store o App Store.

Cuando se conecta a una VPN, se crea un túnel cifrado entre su computadora y un servidor de punto final, lo que le brinda una nueva dirección IP, potencialmente en otro país, y se asegura de que su tráfico de Internet no pueda ser descifrado por su ISP o el administrador de su red local. Pero muchas VPN gratuitas no funcionan como se supone que deben hacerlo, filtrando datos e incluso espiando activamente a sus usuarios.

“Las tres mayores amenazas cuando se trata de aplicaciones móviles VPN gratuitas son la recolección de datos; protección incompleta; y recortes en el desarrollo que potencialmente conducen a vulnerabilidades ”, dice Simon Migliano, jefe de investigación de Top10VPN.com.

Si bien los principales proveedores de VPN comerciales como Windscribe, TunnelBear y ProtonVPN brindan niveles gratuitos como líder en pérdidas para promover sus servicios comerciales o incluso como un bien público, están muy lejos de los servicios centrados en dispositivos móviles y financiados por anuncios que la mayoría de las veces surgen en informes de recolección y mal manejo de datos.

¿Qué puede salir mal?

En shorts, mucho. En julio de 2020, los investigadores de Comparitech descubrieron que UFO VPN, un proveedor con sede en Hong Kong que afirma que no mantiene registros de la actividad de los usuarios, almacena registros de usuarios, registros de acceso y contraseñas de texto sin formato en una base de datos de acceso abierto.

Una vez que se aseguró inicialmente, la base de datos se volvió a exponer unos días después. Tras las garantías iniciales de UFO VPN de que se había "reparado", el editor de Comparitech Paul Bischoff dice que no ha tenido noticias de UFO VPN desde entonces, incluso después de la reexposición de los datos del usuario.

UFO VPN, junto con siete empresas hermanas identificadas por el investigador de VPN Mentor, todas vinculadas a una empresa llamada Dreamfii HK Limited, ofrece servicios de VPN de pago y gratuitos, pero es más conocida por sus servicios de VPN gratuitos financiados con publicidad. Afirma que "no hay registros, no hay monitoreo" de la actividad del usuario, algo que la violación refuta. UFO VPN no había respondido a una solicitud de comentarios al momento de la publicación.

"Siempre aconsejamos a los lectores que no utilicen servicios VPN gratuitos porque tienden a tener políticas de seguridad y privacidad menos sólidas", agrega Bischoff de Comparitech. “Muchos de ellos recopilan datos de los usuarios que pueden usarse para generar ingresos por publicidad, lo que frustra el propósito de usar una VPN para la privacidad. UFO VPN acaba de exponer accidentalmente sus datos. "

Si bien es relativamente raro que este tipo de almacenamiento no contractual y mal manejo de datos se revele de manera tan dramática, muchas VPN móviles gratuitas tienen políticas de manejo de datos deficientes o inexistentes, entre una variedad de problemas resaltados en el análisis de 2019 de Top10VPN.

Y la privacidad con una VPN gratuita tampoco es un hecho. Migliano dice que una VPN mal configurada puede filtrar información sobre sus actividades en línea, incluso si ha cambiado con éxito su dirección IP: “Cuando probamos por primera vez las 150 principales VPN de Android el año pasado, hasta el 25 por ciento sufrió estas filtraciones y Si bien la situación ha mejorado mucho, casi uno de cada diez continuó teniendo filtraciones en nuestras pruebas de seguimiento. "

Esto incluye Hola VPN, que tiene más de 50 millones de instalaciones en Android. "Dada la muy alta rotación de aplicaciones VPN en las tiendas de aplicaciones", dice Migliano, "es una lotería si su nueva VPN realmente mantendrá su actividad de navegación privada de su ISP".

Top10VPN también descubrió que muchas aplicaciones VPN gratuitas utilizan componentes genéricos de terceros para implementar funciones comunes de la aplicación, pero no eliminan los permisos y funciones intrusivos, incluidos los relacionados con la cámara, el micrófono y el rastreo por GPS de un dispositivo.

La tala y la ley

La ubicación de su VPN es muy importante, ya que las leyes locales dictan a qué datos pueden acceder los gobiernos y las fuerzas del orden. En junio de este año, Top10VPN destacó varios proveedores de VPN gratuitos con registros preocupantes de privacidad y seguridad con sede en China o Hong Kong, destacando los cambios recientes en las leyes de seguridad de Hong Kong que requieren que los proveedores de servicios conserven los registros de actividad de los usuarios.

Hong Kong anteriormente no contaba con leyes de retención de datos. Sin embargo, Migliano y su equipo descubrieron que muchas VPN con sede en Hong Kong son, y eran, propiedad de empresas chinas, lo que, según él, plantea preguntas sobre cómo estas aplicaciones pueden seguir funcionando si no se ven comprometidas de alguna manera, como al compartir sus usuarios & # 39; navegación de datos con las autoridades. "

Es debido a las leyes de retención de datos en lugares como Hong Kong, el Reino Unido, Rusia e Irlanda que muchos proveedores de VPN orientados a la privacidad tienen su sede legal en lugares como Panamá y las Islas Vírgenes Británicas, que tampoco forman parte de acuerdos internacionales de vigilancia gubernamental e intercambio de inteligencia, como los & # 39; Fourteen Eyes & # 39; Alianza.

Los requisitos de retención de datos en países como el Reino Unido han llevado a que los registros se entreguen a las fuerzas del orden, pero incluso para el usuario de VPN más respetuoso de la ley, la mera existencia de registros conduce a la posibilidad de que sus datos de actividad estén expuestos, como vimos. con UFO VPN.

Es por esta razón que las empresas de VPN a las que se les confiscaron servidores, solo para revelar registros de actividad de los usuarios, como ExpressVPN y Perfect Privacy, se consideran las mejores opciones para la privacidad. Otras ofertas centradas en la privacidad mantienen informes de transparencia que registran las solicitudes de datos de las fuerzas del orden, y las auditorías de terceros de las políticas de registro, seguridad y privacidad también son cada vez más populares en el sector.

Recolección de datos

En algunos casos, el comportamiento explotador del servicio VPN es el punto, y tampoco puedes confiar necesariamente en los grandes nombres, especialmente si las VPN o la seguridad de la información no son sus áreas habituales de negocio.

Facebook, que ahora ha descontinuado sus ofertas de VPN, fue conocido por esto, con su Onavo Protect VPN, cerrada en 2018, y Facebook Research VPN, cerrada en 2019. Ambos recopilaron datos sobre sus usuarios y lo que estaban mirando en línea.

Anteriormente, una VPN orientada a la privacidad, Onavo prometió protección de navegación mientras recopilaba el seguimiento móvil, mientras que Facebook Research VPN monitoreaba explícitamente la actividad, otorgando $ 20 al mes a participantes de tan solo 13 años.

La exposición pública terminó con ambos servicios, pero en marzo de 2020, la plataforma de análisis de aplicaciones de Android Sensor Tower fue descubierta usando aplicaciones VPN gratuitas para capturar datos sobre las aplicaciones que los usuarios habían instalado en sus teléfonos.

Tampoco son los únicos ejemplos. Hasta 2014 TechCrunch El informe observó que la subsidiaria Smart Sense de la empresa rival de análisis App Annie produjo una aplicación VPN, la ahora extinta VPN Defender, para realizar el mismo tipo de inventario de las aplicaciones instaladas por los usuarios. La etiqueta del software App Annie Basics, anteriormente Distmo, ha sido sugerida por TechCrunch como otro vector probable de recolección de datos. Sus aplicaciones incluyen el popular Astro File Manager, así como la protección de Phone Guardian Mobile Security y VPN.

Cuando las aplicaciones y los hábitos instalados de los usuarios de teléfonos inteligentes son registrados por aplicaciones intrusivas, estos valiosos datos de mercado se venden a los desarrolladores, editores y otras personas en el espacio de publicación de aplicaciones.

¿Qué deberías hacer?

Si está utilizando una VPN por seguridad, recurrir a un proveedor de servicios desconocido sin una política de transparencia como una alternativa supuestamente más segura a su ISP habitual es una mala decisión. Recuerde que está eligiendo efectivamente una empresa diferente que podrá ver todas sus actividades en lugar de quien le suministre su banda ancha.

Incluso si solo desea cambiar de región para echar un vistazo rápido a lo que ven los espectadores de Netflix de EE. UU., Es importante pensar primero en exactamente qué otros datos sobre usted, su teléfono y sus actividades podría estar dando a quién.

Si bien el estándar de oro para la privacidad es un punto final de VPN configurado correctamente que usted controla, eso no es práctico para todos, y existen servicios de VPN comerciales que no son explotadores, incluso los gratuitos.

La investigación es fundamental: estamos aquí para ayudar, con la guía Mundo Informático de las mejores VPN, pero si tiene inquietudes específicas, asegúrese de que su proveedor de VPN las aborde. Consulte sus páginas de transparencia, políticas de registro y observe cómo han manejado acciones legales y problemas de seguridad en el pasado.

Si necesita un servicio VPN gratuito con prisa, Windscribe y ProtonVPN son nuestras recomendaciones actuales, con un historial sólido de seguridad y transparencia, y probablemente le servirán mejor que una selección aleatoria de los más populares o promocionados de Play Store. lista.

Más historias geniales de Mundo Informático

? Dentro del plan secreto para reiniciar Isis desde una enorme copia de seguridad digital

⌚ Tu Apple Watch pronto podría decirte si tienes coronavirus. He aquí cómo

?️ ¿Estás harto de regalar tus datos? En su lugar, pruebe estas alternativas de Google Maps que respetan la privacidad

? Escuche The Mundo Informático Podcast, la semana de ciencia, tecnología y cultura, que se entrega todos los viernes

? Siga Mundo Informático en Gorjeo, Instagram, Facebook y LinkedIn