Un popular servicio VPN gratuito ha sido acusado de filtrar más de 360 millones de registros de datos de usuarios en línea.
La violación de SuperVPN incluye una cantidad asombrosa de información confidencial de las personas, incluidas las direcciones de correo electrónico, la dirección IP original, los registros de geolocalización, los identificadores únicos de los usuarios, las referencias a los sitios web visitados y más.
Con el servicio contando con más de 100 millones de descargas en todo el mundo en las tiendas de aplicaciones de Google y Apple, el experto que investigó el incidente cree que debería «servir como una llamada de atención» para los usuarios sobre la necesidad de elegir un servicio VPN confiable.
Riesgos de superVPN
«A medida que más personas en todo el mundo se preocupan por la privacidad de los datos o intentan eludir la censura, a menudo usan una VPN. Este es un excelente ejemplo de qué datos se pueden capturar, compartir con los gobiernos o exponer en caso de una violación de datos», Jeremiah Fowler, el investigador de seguridad cibernética que descubrió e informó sobre la base de datos violada, le dijo a TechRadar Pro.
Fowler descubrió una exposición pública base de datos vinculada con la aplicación SuperVPN que contiene 133 GB de datos, incluida la información personal del usuario, como la ubicación de IP, los servidores utilizados y los números únicos de identificación de usuario de la aplicación, así como detalles sobre las actividades en línea del usuario, el modelo del dispositivo, el sistema operativo y las solicitudes de reembolso.
Después de comunicarse con las direcciones de correo electrónico disponibles asociadas con las versiones de la aplicación VPN para iOS y Android, la base de datos se cerró sin ninguna explicación.
El movimiento es especialmente preocupante ya que la aplicación SuperVPN, de hecho, fue tendencia en Twitter «tan recientemente como la semana pasada cuando Pakistán bloqueó las redes sociales», nos dijo Fowler.
Otra razón para preocuparse es mirar a la propiedad detrás de SuperVPN. En su informe para VPNMentor, Flower observó cómo la aplicación aparece bajo desarrolladores separados en las dos tiendas de aplicaciones diferentes a pesar de tener exactamente el mismo nombre y dos logotipos muy similares.
En Google Play, SuperVPN se acredita a SuperSoft Tech. Si bien, se dice que SuperVPN para iOS, iPad y macOS fue desarrollado por Qingdao Leyou Hudong Network Technology Co. Entre los archivos filtrados, Fowler incluso podría encontrar referencias a otra compañía llamada Changsha Leyou Baichuan Network Technology Co.
«Todos parecen tener conexiones con China, y las notas dentro de la base de datos estaban en idioma chino», confirmó, argumentando que todos los indicios apuntan a Qingdao Leyou Hudong Network Technology Co. como el propietario de la base de datos pública que expone los datos de los usuarios de SuperVPN.
Ninguna de las empresas respondió a ninguna solicitud de comentarios ni proporcionó información sobre su propiedad y ubicación en sus sitios web, un movimiento que, según Fowler, genera «preocupaciones sobre la transparencia y la seguridad de estos servicios gratuitos de VPN».
Esta no es la primera vez que SuperVPN alarma a los expertos en ciberseguridad. En 2020, se advirtió a los usuarios que eliminaran esta VPN, ya que ponía a millones de usuarios de VPN en riesgo de piratería. SuperVPN también fue identificado como peligroso en 2016, cuando un investigador australiano lo encontró culpable de ser una de las aplicaciones VPN más manipuladas con malware.
Cómo evitar las VPN no seguras
Lamentablemente, este incidente es uno de una serie de instancias que muestran los riesgos de usar un servicio VPN no seguro para proteger los datos en línea. Eso es especialmente preocupante ya que los apagones de Internet van en aumento y, en consecuencia, las personas que necesitan desesperadamente herramientas de seguridad y elusión con un presupuesto muy limitado.
«Este incidente sirve como una llamada de atención para que cualquiera que use una VPN comprenda por qué elegir un servicio confiable y de buena reputación es importante para su privacidad en más formas que solo sus actividades en Internet», dijo Fowler.
Fowler sugiere estar atento a estas señales de alerta antes de suscribirse a un servicio de VPN:
- Redacción poco clara sobre las prácticas de recopilación de datos. Los usuarios siempre deben asegurarse de registrarse en una VPN sin registro para asegurarse de que el proveedor no pueda recopilar y vender su información personal a terceros;
- Falta de la sección «Quiénes somos» / «Acerca de nosotros» en el sitio web oficial. Es vital para los usuarios, especialmente aquellos que tienen una necesidad imperiosa de proteger su privacidad, poder determinar que el servicio que eligen no está vinculado con países infames por sus actividades de vigilancia o censura;
- Falta de características básicas de seguridad. Fowler recomienda especialmente evitar los servicios VPN sin protección contra fugas de DNS o cifrado que no sea AES de 128 o 256 bits;
- Malas críticas. Los usuarios deben tomarse su tiempo para revisar las reseñas de otros clientes antes de descargar cualquier tipo de aplicación, especialmente cuando se trata de un servicio de seguridad. Es muy probable que otros usuarios ya hayan descubierto sus vulnerabilidades.
Para aquellos que buscan un servicio gratuito confiable, nuestro favorito en este momento es PrivadoVPN. En otros lugares, algunos proveedores, incluido Surfshark, ofrecen cuentas premium para ONG, activistas y periodistas que viven con libertad restringida en Internet.
También vale la pena señalar que muchos servicios premium están lejos de ser descritos como una VPN segura; SuperVPN incluida, ya que también vende suscripciones pagas, de hecho.
«La narrativa no se limita a la VPN gratuita, se trata de empresas a las que no les importa la privacidad», dijo el CEO de Hide.me VPN, Sebastian Schaub, a TechRadar Pro.
«Si tiene un jugador chino con registros de confianza cero, sin antecedentes corporativos, sin liderazgo público y aplicaciones de apariencia sospechosa, pediría una mayor supervisión sobre cómo pueden participar en el mercado. Apple y Google deberían hacer cumplir la divulgación. de qué datos se están procesando y almacenando, y luego informar a los usuarios.
«Diría que es una perspectiva bastante sombría: el comportamiento malicioso continúa y no hay mucho que puedas hacer al respecto hasta que las grandes corporaciones limiten la visibilidad de las aplicaciones sospechosas».