SAFE. Guía para proteger tu vida digital y tu privacidad

11 jul 2026

Estudio de aplicaciones VPN gratuitas para Android detecta fugas de tráfico, datos sin cifrar y rastreo

Investigadores sometieron 281 de las aplicaciones VPN gratuitas más populares de Google Play Store a un nuevo sistema de pruebas y descubrieron que muchas fallan en la función básica para la que se instala una VPN: mantener el tráfico privado y seguro.

Las aplicaciones que presentaron al menos un problema se han instalado más de 2.400 millones de veces.

Los problemas son básicos, no complejos.

  • 29 aplicaciones permiten que el tráfico del usuario se filtre fuera del túnel cifrado, incluyendo las consultas DNS que revelan los sitios web visitados.
  • 61 aplicaciones envían datos en texto plano que cualquier persona que monitorice el tráfico en esa red puede leer.
  • Cinco de ellas envían el archivo de configuración de la aplicación sin cifrar, lo que permite a un atacante en la red redirigir la conexión a un servidor bajo su control.

El sistema, llamado MVPNalyzer, fue presentado en la conferencia de seguridad NDSS en febrero de 2026 por investigadores de la Universidad de Michigan, la Universidad de Nuevo México y el IIT Delhi.

Se trata de la versión móvil del estudio VPNalyzer, realizado anteriormente por el mismo laboratorio para analizar el software VPN de escritorio. Los investigadores lo describen como el primer marco de trabajo diseñado para auditar de forma sistemática y repetida las aplicaciones VPN de Android.

Una VPN encapsula tu tráfico en un túnel cifrado, impidiendo que tu proveedor de internet o un intruso en la red vean tu actividad. La contrapartida es que la aplicación VPN ahora tiene acceso a todo el tráfico. No se elimina la necesidad de confiar en alguien, sino que esa confianza se traslada del proveedor de internet al desarrollador de la aplicación.

El estudio se pregunta si estas aplicaciones se merecen esa confianza. Para muchas, la respuesta es no.

El fallo más grave: el secuestro del túnel.

El hallazgo más preocupante se refiere a las cinco aplicaciones que descargan su archivo de configuración sin cifrar. Este archivo indica a la aplicación a qué servidor conectarse. Si se transmite en texto plano, un atacante en la misma red, por ejemplo, un operador de Wi-Fi público, puede modificarlo durante la transmisión y redirigir la aplicación a un servidor bajo su control.

El usuario se conecta, ve la pantalla habitual de "conectado" y todo se redirige a través del atacante. Los investigadores crearon este ataque y confirmaron que funcionaba en teléfonos bajo su control.

Indicaron el problema como prioritario para los cinco proveedores. Dos respondieron, prometiendo trasladar el archivo a HTTPS. Uno afirmó que enviaría los archivos de configuración "de forma segura mediante HTTPS con la validación de certificado adecuada". Los otros tres no respondieron.

Filtraciones y aplicaciones que no ocultan nada

De las 29 aplicaciones, 24 filtraban tráfico DNS, exponiendo los sitios web visitados por los usuarios a la red local; solo estas aplicaciones representan aproximadamente 360 ​​millones de instalaciones. Seis filtraban todo el tráfico de navegación fuera del túnel, y cuatro ejecutaban "túneles" sin ningún tipo de cifrado, con algunas aplicaciones fallando en más de un sentido.

Por otro lado, 169 aplicaciones no intentaban disimular su tráfico como si fuera una VPN, por lo que un operador de red o un censor gubernamental puede detectarlas y bloquearlas con herramientas básicas. Casi dos tercios de estas aplicaciones anuncian que son capaces de sortear el bloqueo o el desbloqueo de contenido restringido. Hacen la promesa y no hacen nada para cumplirla.Para alguien que vive en un país donde usar una VPN ya es arriesgado, ser fácilmente identificado como usuario de VPN es justo lo contrario de lo que esperaba.

Rastreo, incluso desde aplicaciones diseñadas para evitarlo

A menudo, las personas instalan VPN para evitar ser rastreadas. Sin embargo, muchas de estas aplicaciones rastrean de todos modos. 76 enviaron el ID de publicidad del dispositivo, un código único que los anunciantes usan para seguir a una persona de una aplicación a otra.

El estudio reveló que más del 80% de las aplicaciones (246 en total) se conectaron con servidores de publicidad y rastreo conocidos. Muchas también enviaron detalles como el modelo del teléfono, la versión del sistema operativo y el tamaño de la pantalla.

Por sí solos, estos datos parecen inofensivos, pero combinados, forman una "huella digital" que puede identificar un dispositivo. Una aplicación incluso envió las coordenadas GPS exactas del teléfono.

Configuraciones débiles

Los investigadores también analizaron los archivos de configuración de OpenVPN incluidos con 108 de las aplicaciones, una verificación independiente de las pruebas de tráfico en tiempo real mencionadas anteriormente. Solo una de ellas cumplió con todas las buenas prácticas de seguridad evaluadas en el estudio.

Aproximadamente el 89% dependía de un único método de autenticación, ya fuera contraseña o certificado, en lugar de combinar ambos. Casi uno de cada cinco utilizaba cifrado débil u obsoleto, incluyendo el antiguo cifrado Blowfish y el triple DES. Algunos configuraban el cifrado de datos del túnel como "ninguno", lo que desactiva completamente el cifrado. Ambos cifrados antiguos presentan vulnerabilidades conocidas desde hace tiempo (CVE-2016-6329 y CVE-2016-2183) que permiten a un atacante recuperar datos de conexiones de larga duración.

La mayoría de estos problemas tienen la misma raíz: las aplicaciones apenas reciben mantenimiento y las comprobaciones automáticas de la Play Store las permiten. Muchas aparecen entre los primeros resultados de búsqueda, donde las etiquetas de seguridad de Google y su distintivo "Verificado" para aplicaciones VPN pretenden ser una señal de confianza. El estudio afirma que estas etiquetas funcionan más como señales de marketing que como una garantía de seguridad real.

Esto no es un caso aislado.

Otras investigaciones recientes apuntan en la misma dirección. En agosto de 2025, investigadores del Citizen Lab de la Universidad de Toronto y de la Universidad Estatal de Arizona descubrieron que varias aplicaciones VPN populares para Android, con más de 700 millones de descargas combinadas, estaban vinculadas secretamente, compartían contraseñas codificadas y recopilaban datos de ubicación de forma encubierta.

En octubre de 2025, la empresa de seguridad móvil Zimperium informó que tres de las aproximadamente 800 aplicaciones VPN gratuitas que analizó aún incluían una versión de la biblioteca OpenSSL vulnerable a Heartbleed, un fallo conocido que se corrigió en 2014. Muchas también solicitaban permisos de acceso al teléfono que iban mucho más allá de lo necesario para una VPN.

Los tres estudios coinciden: las aplicaciones VPN gratuitas siguen combinando una sólida promesa de privacidad con una ingeniería deficiente, y siguen alcanzando millones de instalaciones antes de que nadie lo detecte.

Qué pueden hacer los usuarios

Los fallos más graves, la obtención de la configuración en texto plano y la configuración débil del túnel, son invisibles para el usuario. No se pueden detectar simplemente mirando la aplicación, y ahí radica el problema. Por lo tanto, la verdadera defensa no reside en el protocolo que anuncia la aplicación, sino en quién está detrás de ella.

Se ruega a los proveedores que publiquen una auditoría de seguridad independiente reciente. Desconfíe de las aplicaciones gratuitas que le bombardean con anuncios. Considere las afirmaciones de "verificado" o "sin registros" como un punto de partida, no como una prueba.

Los investigadores enumeran todas las aplicaciones señaladas en el apéndice del artículo, para que pueda comprobar si la que tiene en su teléfono se encuentra entre ellas.

El equipo planea lanzar MVPNalyzer públicamente para que las tiendas de aplicaciones y los reguladores puedan realizar estas comprobaciones por sí mismos. Con esta evidencia, tendrán que hacerlo.

Se ha preguntado a Google si está revisando o eliminando las aplicaciones señaladas, y cuál es su respuesta a la conclusión del estudio de que las etiquetas de seguridad de Play Store y la insignia "Verificado" funcionan más como marketing que como garantías de seguridad. También hemos solicitado al equipo de investigación de MVPNalyzer que identifique las cinco aplicaciones vulnerables al secuestro de túneles y que confirme si los proveedores notificados han implementado soluciones. Esta noticia se actualizará con cualquier respuesta que recibamos.

Fuente: THN



Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!