Actualizada a 26 de marzo de 2020

Cuando piensas en las herramientas de ciberseguridad más respetuosas para con el consumidor, probablemente se ven reducidas a programas antivirus y VPN. De los dos, las VPN se utilizan para sortear las restricciones de geolocalización, así como para proporcionar a los usuarios la máxima seguridad y privacidad.

Por lo tanto, sería una gran sorpresa para esos usuarios descubrir que algunas de sus VPN favoritas no parecen respetar en absoluto la privacidad de sus usuarios.

Nuestra investigación muestra que los sitios web de VPN son, de manera decepcionante, muy similares, y a veces, peores que otros sitios web populares. De las 114 VPN que analizamos, 102 sitios web tenían rastreadores, y 26 sitios web tenían 10 o más rastreadores. Muchos de estos rastreadores involucran a terceros que no tienen la mejor reputación de respetar la privacidad del usuario, lo que puede ser perjudicial para el mismo.

Peor aún, están usando scripts de reproducción de sesión: casi 1 de cada 4 sitios web de VPN los usaron para grabar vídeos de cómo cada usuario recorre su sitio web, en qué hace clic, qué buscan y mucho más.

Afortunadamente, la situación no es del todo mala: hay 13 sitios web que no tienen absolutamente ningún rastreador, y 48 sitios web tienen 4 o menos rastreadores.

Pero, sinceramente, esto último es simplemente una palmada en la espalda. Recuerda, estos rastreadores están hechos para que puedan rastrear tu comportamiento en línea, y seguirte a donde quiera que vayas en internet. Tener incluso 1 de ellos en tu sitio web realmente echa por tierra cualquier argumento de ser garantes de la máxima privacidad y anonimato.

Resultados clave

  • 102 sitios web de VPN tienen 1 o más rastreadores. 26 sitios web tienen 10 o más rastreadores;
  • Hay 32 scripts de reproducción de sesión en los 114 sitios web de VPN;
  • 17 sitios web tienen rastreadores de terceros cuyas prácticas de privacidad no son lo suficientemente claras;
  • 45 sitios web tienen rastreadores de Facebook, y 39 sitios web – más de 1;
  • Sólo 13 sitios web tienen 0 rastreadores en ellas;

Sobre esta investigación

Para analizar estos sitios web, utilizamos el complemento gratuito anti-tracker Ghostery. No sólo tiene una gran lista de rastreadores en su base de datos, sino que también proporciona convenientemente enlaces de estos rastreadores y varios resúmenes de los datos que se recopilan y comparten.

Además de chequear simplemente los rastreadores para cada sitio web de VPN, también le echamos un vistazo a las políticas de privacidad de estos terceros para determinar su seguridad o riesgo.

La lista original contenía 120 principales sitios web de VPN, pero 6 sitios web de VPN se habían desconectado. La lista de sitios web de VPN que analizamos proviene de nuestra clasificación de VPNpro de 2019.

Los peligros de los scripts de reproducción de sesión

Cada vez que visitas un sitio web que utiliza scripts de reproducción de sesión, probablemente esté grabando tu sesión, tu visita. Los scripts de reproducción de sesión permiten a los propietarios de sitios web, vendedores, marketers, y más, ver cómo los usuarios interactúan con sus sitios web. Descubrimos que 26 sitios web de VPN usan scripts de reproducción de sesión en sus sitios, con uno, Avast SecureLine VPN, incluso usando 3 herramientas diferentes de reproducción de sesión para grabar a sus usuarios.

El término “reproducción de sesión” proviene de la capacidad de estas herramientas para reproducir sesiones de usuario. Esencialmente, estas herramientas pueden registrar todas tus actividades cuando visitas sus sitios web, incluyendo en lo que hiciste clic, lo que buscaste, lo que ingresaste en X formulario (incluso antes de hacer clic en ‘enviar’) y cualquier otra cosa que estés haciendo en línea.

Y por registro, queremos decir en realidad grabar: estas repeticiones de sesión son grabaciones de video de su comportamiento en línea. Aquí hay imágenes de algunas sesiones de video que puedes ver usando una herramienta líder de reproducción de sesiones, Hotjar:

Si eso no suena lo suficientemente espeluznante, los investigadores de seguridad de Princeton encontraron lo siguiente:

“La recopilación del contenido de la página a través de scripts de reproducción de terceros puede causar que información confidencial como registros médicos, detalles de tarjetas de crédito y otra información personal que se muestra en una página se filtre al tercero como parte de la grabación… Esto puede exponer a los usuarios al robo de su identidad, estafas en línea, y otros comportamientos indeseados. Lo mismo es válido para la recopilación de entradas de los usuarios durante los procesos de pago o registro.”

Si bien algunas de las herramientas de reproducción de sesiones pudieron redactar (ocultar) la información que los usuarios ingresaron mientras se grababan, no todas las herramientas hicieron esto. Algunas contraseñas claramente podrían haberse registrado en su investigación, y también podrían haberse filtrado muchos datos confidenciales. Los investigadores crearon una tabla que muestra sus hallazgos, donde una luna nueva significa que los datos fueron excluidos (redactados), un cuarto creciente indica un enmascaramiento equivalente y una luna llena significa que los datos son enviados directamente:

Tabla de resultados de los investigadores de seguridad de Pricenton

Incluso con la existencia de cierta seguridad, los investigadores de Princeton descubrieron que algunas compañías, incluidas Yandex, Hotjar y Smartlook, ofrecían reproducciones de estas grabaciones de usuarios en páginas HTTP, incluso si las grabaciones tenían lugar en las páginas HTTPS. Debido a que las páginas HTTP no están cifradas, esto deja lugar a los ataques MITM (ataques de intermediario), donde un hacker puede robar fácilmente todos los datos de la grabación.

Sitios web de VPN que utilizan scripts de reproducción de sesión
Sitios web de VPN que utilizan scripts de reproducción de sesión

Rastreadores y violaciones de la privacidad

Pero hay más problemas con los rastreadores que solo las vulnerabilidades y la falta de privacidad con los scripts de reproducción de sesión.

Hay muchos tipos diferentes de rastreadores y ofrecen diferentes niveles de privacidad. Algunos rastreadores recopilarán datos de los usuarios, pero no compartirán nada más que datos anónimos/agregados, y otros no tienen muy claro qué comparten. Algunos incluso son bastante benignos, ya que recopilan datos, pero los comparten de manera mínima, o son bastante esenciales para que un sitio web funcione.

Pero hay algunos rastreadores que son, en una palabra simple, muy malignos, que comparten datos de identificación personal o seudónimos con terceros. Hemos identificado 34 rastreadores diferentes que son perjudiciales para tu privacidad. Entre estos rastreadores se incluyen Taboola, Zendesk, Adroll, BlueKai y OpenX.

La vasta recopilación de datos de OpenX

Tomemos el último, OpenX, como ejemplo. De acuerdo con su política de privacidad, OpenX, que dice llamarse el líder mundial en “publicidad programática”, puede recopilar tu edad, sexo, estado civil, información de tu teléfono, dirección IP e incluso tu ubicación GPS exacta:La política de privacidad de OpenX rastreando usuarios

 

También pueden compartir todos esos datos con terceros para diversos fines.

OpenX ha sido acusado de violar la privacidad de los usuarios en el pasado. Se identificó que la empresa de publicidad programática utilizaba una técnica que le permitía compartir datos con otras empresas, incluidos terceros no autorizados. Esencialmente, esto permite que varias compañías recopilen datos de usuarios, incluso sin que esas otras compañías obtengan el consentimiento de los usuarios bajo el GDPR y el CCPA de California.

La reputación irregular de BlueKai

Pero OpenX no está solo en esto. La mayoría de estos rastreadores riesgosos son culpables de usar las mismas técnicas comerciales. Tomemos por ejemplo a BlueKai, que fue adquirido por Oracle en 2014. BlueKai ha sido mencionado una y otra y otra vez por sus posibles violaciones de privacidad. Incluso ha sido nombrado en una queja de GDPR por Privacy International, debido a las graves preocupaciones sobre las “actividades de procesamiento de datos en la industria de los data brokers y adtech”.

Un informe académico [pdf] analizó a BlueKai y otros data brokers. El investigador mencionó tres grandes problemas con los data brokers en términos de privacidad del usuario:

  1. La seguridad del almacenamiento de datos no es suficiente
  2. Los rastreadores venden datos a otras entidades
  3. Los ad brokers exponen accidentalmente los datos del usuario a través de sus servicios de publicidad

El segundo problema es más condenatorio. Dado que los data brokers como BlueKai ganan dinero mediante la recopilación y venta de datos de usuario, esto presenta un gran riesgo de privacidad. Todo esto se debe a que, si bien la política de privacidad de BlueKai estipula lo que puede y no puede hacer con los datos del usuario, los datos eventualmente estarán sujetos a las políticas de privacidad de los clientes de BlueKai, que pueden ser diferentes de las del mismo BlueKai.

Los data brokers de BlueKai analizados en una investigación

Entonces, si bien BlueKai puede afirmar que respetan tu privacidad cuando recopilan tus datos, es muy posible que estén vendiendo esos datos a compañías que no se preocupan por tu privacidad en absoluto.

VPN que usan rastreadores riesgosos
VPN que usan rastreadores riesgosos

Qué significa para los usuarios de VPN

En general, esto no es muy prometedor para las personas que visitan sitios web de VPN. Esencialmente, si bien esperarías un mayor nivel de privacidad y anonimato de estos servicios (basándonos en lo que deberían proporcionar estas compañías de VPN), lo que realmente encontrarás es mucho, mucho menos.

Los sitios web de VPN están utilizando las mismas tácticas de marketing por las que luego suelen acusar a las grandes compañías, como Facebook. De hecho, 45 sitios web que analizamos están usando rastreadores de Facebook. Eso es más o menos como decir que Facebook es malo para tu privacidad, al mismo tiempo que afirmas que Facebook es bueno para tus clientes.

Y en el medio de esos dos tipos diferentes de declaraciones, están los usuarios, que son, al fin y al cabo, los que salen perdiendo. Con las empresas adtech y los data brokers recopilando y vendiendo tus datos de usuario, no parece haber nada particularmente privado o anónimo sobre estos sitios web de VPN.

Afortunadamente, hay una solución fácil, pero no perfecta:

  • Usar extensiones y herramientas como Ghostery, que pueden ayudar a bloquear muchos de estos rastreadores y scripts de reproducción de sesión
  • Usar navegadores privados (por defecto) como Brave
  • Limitar seriamente lo que estás haciendo en esos sitios web, o evitarlos por completo. (Si tienes alguna pregunta, simplemente envía un correo electrónico a su servicio de atención al cliente utilizando una dirección de correo electrónico desechable de ProtonMail).

Hay muchos otros métodos que puedes usar para limitar qué tipo de datos estás compartiendo con estos sitios web, y todos los sitios web y navegadores en general, pero las opciones enumeradas arriba deberían funcionar específicamente para los sitios web VPN.

Sin embargo, me gustaría terminar con una nota positiva, enumerando los 20 sitios web de VPN más privados, por contener, en general, la menor cantidad de rastreadores:

    1. 12VPN – 0
    2. AirVPN – 0
    3. ConfirmedVPN – 0
    4. CryptoStorm – 0
    5. Disconnect VPN – 0
    6. DotVPN – 0
    7. Mullvad – 0
    8. ProtonVPN – 0
    9. Psiphon – 0
    10. Thunder VPN – 0
    11. VIP72 VPN – 0
    12. VPN.ac – 0
    13. Zorro VPN – 0
    14. Celo VPN – 1
    15. Hideman VPN – 1
    16. IVPN – 1
    17. Seed4.Me – 1
    18. VPNReactor – 1
    19. Windscribe – 1
    20. ZenVPN – 1

¿Qué hay de las VPN más populares?

Si no encuentras aquí a tu proveedor VPN favorito, ya sea NordVPN, ExpressVPN o incluso PIA, probablemente sea porque no tienen ni los rastreadores más peligrosos, ni tampoco la mínima cantidad de rastreadores.

Aquí tienes la lista de tus 20 proveedores VPN favoritos y qué tantos rastreadores peligrosos y scripts de reproducción de sesión tienen:

Proveedor VPNNúmero total de rastreadoresRastreadores peligrososScripts de reproducción de sesión
NordVPN1000
Surfshark800
ExpressVPN1000
CyberGhost1001
Astrill700
TorGuard400
Ivacy1111
PrivateVPN700
Windscribe100
VyprVPN1200
ProtonVPN000
Perfect Privacy500
PIA400
IPVanish1520
Hotspot Shield800
PureVPN1001
HideMyAss1501
TunnelBear500
Avast SecureLine VPN2433
Norton WiFi Privacy3681

Échale un vistazo a nuestras otras investigaciones:

Descargo de responsabilidad:
Investigamos meticulosamente nuestras historias y nos esforzamos por presentar una imagen precisa a nuestros lectores. También somos humanos, y si crees que hemos cometido un error de hechos (en lugar de estar en desacuerdo con una opinión), contáctanos para que podamos investigar y corregir o confirmar los hechos. Comunícate con nosotros a través de nuestra página Contáctanos.