La mayoría de las VPN gratuitas que existen para Android, han sido desarrolladas por una única empresa china, Qihoo 360, con fuertes vínculos con el gobierno chino, y puertas traseras en su código. Así lo afirma una investigación presentada en la iniciativa Comunicaciones Libres y Abiertas en Internet (FOCI).
Estos expertos han analizado casi dos docenas de redes privadas virtuales para móviles Android, que suman más de 700 millones de descargas en Google Play Store. Han encontrado fuertes vínculos en el código entre todas ellas, así como algunas vulnerabilidades.
Por desgracia usamos software gratuito sin pensar de dónde obtienen las ganancias de sus creadores. Especialmente en el caso de las VPN, que exigen una infraestructura cara para funcionar.
Las VPN gratuitas al servicio del gobierno chino
Una VPN o red privada virtual es un software que encripta la conexión y cambia la dirección IP del usuario, para ocultar su ubicación, y las webs que visita. A cambio, todo el tráfico del usuario pasa por los servidores de la VPN, ya que a través de ellos es como se cambia la dirección IP.
Según esta investigación, que puedes leer en FOCI, vía Techspot, dos decenas de VPN gratuitas, creadas por una docena de empresas, pertenecen a la misma gran compañía de seguridad, Qihoo 360, con fuertes lazos con el gobierno chino.
Estas VPN gratuitas suman más de 700 millones descargas en Google Play Store. Las que superan los 100 millones de descargas son Turbo VPN, VPN Proxy Master, XY VPN, 3X VPN, VPN – Super Unlimited Proxy, y Secure VPN Safer Internet. Otras llegan a los 50 y 10 millones de descargas.
Para llevar a cabo el estudio, los investigadores recopilaron datos de múltiples fuentes, como sitios web de proveedores, listados de Google Play, registros de empresas y publicaciones en redes sociales.
Después analizaron su código en busca de patrones, fallos de seguridad, o coincidencias técnicas. Y lo que hallaron es muy revelador.
Todas las apps encajaban en tres grupos diferentes. En el grupo A todas las VPN gratuitas compartían el mismo código Java, bibliotecas y otros datos. Son compatibles con los protocolos IPsec y Shadowsocks y presentan los mismos fallos de seguridad: seguimiento de la ubicación, cifrado débil y contraseñas Shadowsocks codificadas.
El tráfico es fácilmente interceptable por un agente externo, como las mencionadas autoridades chinas.
VPN gratuitas con graves fallos de seguridad
Las aplicaciones del grupo B solo admiten el protocolo Shadowsocks y también dependen de las mismas contraseñas codificadas para conectarse a los servidores Shadowsocks.
Finalmente, las VPN del grupo C sí parecen seguras, con un túnel personalizado, ofuscación de código y otras contramedidas destinadas a resistir la ingeniería inversa.
Aunque la investigación no acusa directamente a Qihoo 360, sí resulta llamativo que una misma empresa cree más de una docena de marcas diferentes para distribuir dos docenas de VPN gratuitas, que en teoría hacen lo mismo.
Del mismo modo, la mayoría de ellas tienen fallos de seguridad, como seguimiento de la ubicación, cifrado débil y contraseñas Shadowsocks codificadas. Supuestamente esto permite el rastreo de los usuarios, y el espionaje del tráfico.
Hoy en día se puede contratar una VPN de pago por 3 o 4 euros al mes. 40 euros al año por preservar tu privacidad, no es dinero. Las VPN gratuitas siempre son un riesgo, porque de algún sitio tienen que sacar la ganancia. Si no pagas por el producto, el producto eres tú.
Conoce cómo trabajamos en ComputerHoy.
Etiquetas: Malware, Privacidad, Viral, Apps, china
Ingeniero de Sistemas especializado en Inteligencia Artificial y Automatización de Procesos. Con una trayectoria enfocada en la convergencia entre tecnología de vanguardia y comunicación digital, Ramón lidera la implementación de modelos generativos aplicados al periodismo dominicano. Su trabajo garantiza que la información que llega a la diáspora no solo mantenga nuestra identidad “del patio”, sino que cumpla con los más altos estándares de veracidad y optimización técnica de la web moderna (2026).
