Gaming Club
Regístrate
españaESPAÑAméxicoMÉXICOusaUSA
Betech
Ciencia y tecnología

SEGURIDAD INTERNET

7 apps gratuitas VPN exponen datos de 20 millones de personas

Se supone que una VPN sirve para establecer medidas de ciberseguridad, aunque esta vez ha sido al revés.

7 apps gratuitas VPN exponen datos de 20 millones de personas

Se les llama VPN, siglas de Virtual Private Networks o redes virtuales privadas. Y sirven para mantener en secreto tu ubicación geográfica, permitiéndote acceder a webs que hayan sido bloqueadas o censuradas por no estar dentro de tu ámbito geográfico. Instalando una app que permita crearlas podemos evitar webs y rastreadores online al tiempo, lo que la convierte en muy útil para por ejemplo acceder a sites americanos que tengan descuentos por el Black Friday por ejemplo.

7 apps VPN gratis hackeadas

Una VPN nos da además herramientas que nos permiten cifrar nuestra conexión a Internet para proteger la dirección IP, historial de navegación y otros datos personales cuando estemos en línea, usemos aplicaciones o nos conectemos a un WiFi. Por ello conoce datos privados de sus usuarios. Datos que se supone no revela. Al menos hasta ahora, ya que 7 aplicaciones gratuitas VPN han expuesto información privada de cerca de 20 millones de usuarios, como correos electrónicos, contraseñas o direcciones IP.

El equipo de investigación de vpnMentor, dirigido por Noam Rotem, descubrió el servidor y encontró datos de Información de Identificación Personal (PII) de potencialmente más de 20 millones de usuarios de VPN, de acuerdo con las afirmaciones de los números de usuario hechas por las VPNs.


Cada una de estas VPN afirma que sus servicios son VPN "sin registro", lo que significa que no registran ninguna actividad de los usuarios en sus respectivas aplicaciones. Sin embargo, “encontramos múltiples instancias de registros de actividad en Internet en su servidor compartido. Nuestro equipo encontró entradas dentro de la base de datos expuesta que contenían muchos datos personales sobre los usuarios e información técnica sobre los dispositivos en los que se instalaron las VPNs", incluyendo:

  • Direcciones de email
  • Contraseñas
  • Direcciones IP
  • Direcciones de domicilios
  • Modelos de teléfono
  • ID de dispositivos
  • Registros de conexión, tráfico y sitios visitados
  • Direcciones IP de origen
  • Proveedor de servicios de Internet (ISP)
  • Ubicación real
  • Tipo de dispositivo
  • Identificación del dispositivo
  • Versión de la aplicación
  • Modelos de teléfonos
  • Conexión de la red de usuarios

Según los expertos, las VPNs expuestas en esta fuga “comparten el mismo desarrollador, basado en los siguientes hallazgos”:

- Las VPNs comparten un servidor común de Elasticsearch

- Están alojados en los mismos activos

- Tienen un único destinatario de los pagos, Dreamfii HK Limited

- Al menos tres de las VPNs en el servidor comparten marcas casi idénticas en sus sitios web.

Utilizando los datos PII expuestos a través del servidor de ElasticSearch, los hackers maliciosos y los ciberdelincuentes podrían crear campañas de phishing muy eficaces dirigidas a los usuarios de las aplicaciones VPN expuestas. Las VPN afectadas son:

- UFO VPN

- FAST VPN

- Free VPN

- Super VPN

- Flash VPN

- Secure VPN

- Rabbit VPN

Crear campañas de phishing con esos datos

Una campaña de phishing implica el envío de correos electrónicos falsos a un objetivo, imitando un negocio real. Estos correos electrónicos tienen como objetivo engañar a las víctimas para que proporcionen datos financieros confidenciales, como detalles de tarjetas de crédito, o que hagan clic en un enlace incrustado con software malicioso como malware y programas de rescate.

Utilizando los datos de pago filtrados de los métodos de pago de Paypal o Bitcoin, hay suficiente para que un ladrón digital entrenado se aproveche de las finanzas de los usuarios de estas VPNs a través de estas plataformas.

Si alguno de los planes delictivos descritos anteriormente tuviera éxito, el impacto en la vida personal y el bienestar financiero de la víctima podría ser devastador, especialmente durante una pandemia mundial, con tanta incertidumbre, un desempleo creciente y una recesión inminente.

Poco interés por resolver el problema

Según VPNmentor, inicialmente el 5 de julio “contactamos con el servicio de atención al cliente de las empresas que comercializan cuatro de las VPN, junto con los desarrolladores de las propias VPN":

- Dreamfii HK Ltd (UFO VPN)

- Mobipotato HK Limited (FAST VPN)

- Starxmobi HK Ltd (Free VPN)

- Nownetmobi (Super VPN).

Mobipotato respondió rápidamente pero parecía “no ser consciente de los problemas que conlleva un servidor no seguro - especialmente uno que contiene información que se supone que no deberían estar registrando - y no entendía qué son 'PIIs y sus afecciones'. Enviamos dos respuestas a la compañía en dos ocasiones pero no recibimos ninguna otra comunicación”.

El 7 y el 9 de julio, VPNmentor intentó contactar con numerosas personas en Dreamfii, los desarrolladores de UFO VPN, “sin éxito". También contactamos con HKCERT para notificarles la fuga”, recibiendo la siguiente respuesta de HKCERT el 13 de julio:

"Hemos notificado a la ASN la IP que mencionó para su seguimiento. Dado que el país de la localización de la IP es EE.UU., y el registro que usted proporcionó no puede mostrar que la información está relacionada con Hong Kong. ¿Podría por favor contactar a US-Cert para ayuda o proporcionar más información que indique que el incidente de la fuga de datos está relacionado con Hong Kong?"

La compañía hizo dos intentos más de contactar directamente a las personas que trabajan en Dreamfii, incluyendo al Director de la Compañía.

Haber evitado la filtración

Los desarrolladores de estas VPN podrían haber evitado fácilmente esta fuga si hubieran tomado algunas medidas de seguridad básicas para proteger la base de datos. Estas incluyen, pero no se limitan a:

  • Asegurar sus servidores.
  • Implementar reglas de acceso adecuadas.
  • Nunca dejar abierto a Internet un sistema que no requiera autenticación.
  • Abstenerse de registrar datos personales y sensibles de los usuarios, a menos que sea necesario. Si es necesario registrar estos datos, deben ser encriptados de acuerdo con los más altos estándares de seguridad.