SuperVPN Free VPN Client es una de las aplicaciones VPN gratuitas más populares que puedes encontrar en la Play Store de Google, ya que ha conseguido más de 100 millones de descargas.

Pero además de ser una aplicación muy popular, hay algo más que debes saber sobre esta VPN gratuita: SuperVPN Free VPN Client también es muy peligrosa. Verás, nuestro análisis muestra que esta aplicación tiene vulnerabilidades críticas que la dejan expuesta a peligrosos ataques conocidos como ataques de intermediario (MITM attack). Estas vulnerabilidades permiten a los hackers interceptar fácilmente todas las comunicaciones entre el usuario y el proveedor VPN, permitiendo que vean todo lo que el usuario está haciendo.

En realidad, esto es todo lo contrario de lo que se supone que debe hacer una VPN. Una VPN tiene que mantener tus actividades online privadas y seguras de todos los fisgones. De hecho, se supone que una VPN es tan segura que, incluso si un hacker pudiera interceptar estas comunicaciones, le sería totalmente imposible descifrar los datos. Pero eso no es lo que SuperVPN ha hecho aquí.

Lo que ha hecho esta aplicación VPN es dejar que sus usuarios, personas en busca de privacidad y seguridad adicional, tengan realmente menos privacidad y seguridad que si no hubieran utilizado ninguna VPN.

Las implicaciones aquí son bastante graves. Según nuestra investigación, a más de 105 millones de personas en este momento se les podrían estar robando los datos de sus tarjetas de crédito, filtrando o vendiendo sus fotos y vídeos privados en línea, e incluso grabando y/o enviando cada minuto de sus conversaciones privadas a un servidor en un lugar secreto. Podrían estar navegando en un sitio web falso y malicioso creado por el hacker y ayudado por estas peligrosas aplicaciones VPN.

Pero lo que es aún peor es que esta aplicación no está sola: de las principales aplicaciones VPN gratuitas que analizamos, 10 aplicaciones VPN gratuitas tienen vulnerabilidades críticas similares. Si has instalado alguna de estas peligrosas aplicaciones VPN, debes eliminarlas de inmediato:

Aplicaciones VPN vulnerables en la Play Store de Google
Aplicaciones VPN vulnerables en la Play Store de Google

Sobre esta investigación

Para llevar a cabo nuestro análisis, primero desarrollamos una prueba de concepto para crear un ataque de intermediario. Luego observamos las principales aplicaciones en Google Play que aparecieron al buscar la palabra clave “vpn” en enero de 2019. Primero intentamos nuestro ataque MITM en dos de las 10 principales VPN: SuperVPN y Best Ultimate VPN, y luego filtramos y testeamos las aplicaciones restantes.

Revelamos estas vulnerabilidades de las 10 aplicaciones VPN afectadas en octubre de 2019 y les proporcionamos el tiempo suficiente para solucionar estos problemas. Desafortunadamente, solo una de ellos, Best Ultimate VPN, respondió y finalmente actualizó su aplicación en función de la información proporcionada (para ello tuvieron más de 90 días). Los demás no respondieron a nuestras consultas.

También hemos informado de estas vulnerabilidades a Google, pero hasta ahora no hemos tenido noticias de ellos.

Puntos clave

  • 10 de las principales aplicaciones VPN gratuitas de la Play Store de Googl tienen significativas vulnerabilidades, que afectan a casi 120 millones de usuarios.
  • Estas vulnerabilidades permiten a los hackers interceptar fácilmente las comunicaciones de los usuarios, lo que incluye ver los sitios web visitados, así como robar nombres de usuario, contraseñas, fotos, vídeos y mensajes.
  • Dos aplicaciones usan claves criptográficas codificadas y a 10 aplicaciones les falta el cifrado de datos confidenciales. 2 de estas aplicaciones sufren de ambas vulnerabilidades.
  • Una aplicación ya se identificó como malware, pero nunca se eliminó de la Play Store, mientras veía crecer el número de descargas hasta los 100 millones. En nuestra investigación anterior, identificamos esta aplicación por manipular potencialmente el algoritmo de Google Play con el fin de obtener una alta clasificación e incontable número de descargas.
  • Cuatro de las aplicaciones afectadas se encuentran en Hong Kong, Taiwán, o la China continental.
  • Algunas aplicaciones tienen sus claves de cifrado codificadas dentro de la aplicación. Esto significa que, incluso si los datos están cifrados, los hackers pueden descifrarlos fácilmente con las claves incluidas.
  • Debido a las vulnerabilidades, los hackers pueden obligar fácilmente a los usuarios a conectarse a sus propios servidores VPN maliciosos.

Echémosle un vistazo en profundidad a una aplicación para entender qué tipo de vulnerabilidades fueron las que encontramos.

SuperVPN pone en riesgo a 100 millones de usuarios

SuperVPN es una aplicación VPN para Android muy popular. Según Google Play, la aplicación se ha descargado más de 100 millones de veces (en enero de 2019 sólo tenía 50 millones de descargas). En ese momento estaba en la quinta posición para la palabra clave «vpn».

Número de descargas de SuperVPN
Número de descargas de SuperVPN

Solo por mostrar qué tan grande es este número para cualquier VPN, este es el mismo número de descargas de aplicaciones mucho más populares como Tinder y AliExpress:

Número de descargas de Tinder
Número de descargas de Tinder
Número de descargas de AliExpress
Número de descargas de AliExpress

Lo que hicimos

En nuestras pruebas, notamos que SuperVPN se conecta con varios hosts, y algunas comunicaciones se envían a través de un HTTP no seguro. Esta comunicación contenía datos cifrados. Pero investigando un poco más, descubrimos que esta comunicación realmente contenía la clave necesaria para descifrar la información.

Lo que encontramos

Después de descifrar los datos, encontramos información confidencial sobre el servidor de SuperVPN, sus certificados y las credenciales que el servidor VPN necesita para la autenticación.

¿Quién está detrás de SuperVPN?

SuperVPN y su desarrollador SuperSoftTech han estado en nuestra mira antes. Otra de nuestras investigaciones previas analizó que un puñado de compañías estaba secretamente detrás de muchos productos VPN. A partir de eso, sabemos que SuperSoftTech afirma tener su sede en Singapur, pero en realidad pertenece al editor independiente de aplicaciones Jinrong Zheng, un ciudadano chino que probablemente tenga su sede en Beijing.

También descubrimos que SuperVPN había sido nombrada antes en una investigación australiana de 2016 como la tercera aplicación VPN con más malware.

SuperVPN malware

En ese momento, en 2016, SuperVPN sólo tenía 10.000 descargas. Ahora, cuatro años después, ya tiene más de 100 millones de descargas. Sorprendentemente, a pesar de que varios artículos mencionaron a SuperVPN por contener malware, aún no ha sido eliminada de la Play Store.

Este es sólo un ejemplo de las vulnerabilidades que encontramos en las 10 aplicaciones enumeradas en este artículo.

Una reputación de manipulación

Sobre SuperVPN ya habíamos hablado antes, en nuestra investigación sobre las posibles tácticas de manipulación que las principales VPN estaban usando para clasificarse en lo más alto del ránking de Google Play.

En esa investigación, descubrimos que los 10 principales resultados con la palabra clave “vpn” en Google Play eran todos de VPN gratuitas. Tenían un ránking más alto que las VPN líderes del mercado, como NordVPN y ExpressVPN. Nuestra investigación descubrió que estas aplicaciones mejor clasificadas parecían estar usando tres fáciles técnicas de manipulación para obtener clasificaciones tan altas.

Eso significa que SuperVPN de SuperSoftTech parece no solo estar utilizando técnicas de manipulación para obtener una alta calificación en Google Play, sino que también es peligrosamente vulnerable.

Intentamos contactar al Sr. Zheng en múltiples ocasiones, pero no hemos tenido noticias suyas.

Cómo los hackers MITM penetran las aplicaciones VPN

Para comprender realmente cuán críticas y peligrosas son esas vulnerabilidades, debes comprender un poco cómo los usuarios normalmente se conectan a las VPN.

El proceso exacto de las VPN puede parecer un poco complicado, pero su conexión es bastante simple (a continuación se muestra gráfico en inglés):

MITM esquema

Ahora bien, con una conexión VPN pirateada, hay un hacker intermediario que se posiciona justo en el medio de tu aplicación y el servidor back-end de la VPN:

MITM esquema

Y esta es la parte peligrosa: al cambiar los detalles, ahora puede forzarte a conectarte a su servidor malicioso en lugar del servidor real de la VPN. Si bien todo parece funcionar normalmente, y tú piensas que estás más seguro y protegido, en realidad estás expuesto gravemente.

Si estás navegando en internet a través de su servidor VPN, él podrá ver todas tus comunicaciones: mensajes de texto y de voz privados, contraseñas, fotos y vídeos.

En resumen, tu vida personal está expuesta, y sólo está limitada por la imaginación del hacker con lo que pueda hacer con todos esos datos.

¿Qué significa esto para tu seguridad?

Este es un hallazgo catastrófico en dos niveles. En un sentido más amplio, es nefasto que cualquier aplicación que esté involucrada en datos del usuario tenga estas vulnerabilidades abiertas que hacen que sea particularmente fácil para los hackers y las agencias gubernamentales monitorear las comunicaciones de los usuarios.

Que una aplicación VPN sea tan vulnerable es una traición a la confianza de los usuarios y los coloca en una posición peor que si no hubieran utilizado ninguna VPN.

En un sentido más específico y peligroso, es escalofriante que una VPN tenga estas vulnerabilidades. Después de todo, los usuarios se conectan a las VPN para aumentar su privacidad y seguridad. Por esa razón, están más dispuestos a transmitir información confidencial en aplicaciones VPN que en otras aplicaciones. Que una aplicación VPN sea tan vulnerable es una traición a la confianza de los usuarios y los coloca en una posición peor que si no hubieran utilizado ninguna VPN.

Sin embargo, podría haber algo más grande en juego aquí. Al mirar estas aplicaciones juntas, parece haber dos posibilidades esenciales:

  1. Estas principales vulnerabilidades son intencionales para estas aplicaciones VPN gratuitas. Después de todo, dado que un ataque de intermediario exitoso permitiría a alguien la capacidad de monitorear datos confidenciales de los usuarios (o redirigir a los usuarios a servidores VPN falsos) sin el conocimiento del mismo, esa es una herramienta útil para cualquier organización o nación con hambre de vigilancia.
  2. Por otro lado, probablemente no deberíamos llamar «malicia» lo que puede explicarse como estupidez, o en este caso, pereza. En términos simples, los que han hecho los desarrolladores de aplicaciones aquí fue enforcarse en obtener grandes cantidades de usuarios y en llenar su aplicación con anuncios, que dieron menos prioridad a las características principales de seguridad de sus aplicaciones.

Si bien una posibilidad puede parecer peor que la otra, al final lo que importa es el resultado: las personas que usan estas aplicaciones vulnerables están poniendo sus datos, y posiblemente sus vidas, en peligro.

Basándonos sólo en ese hecho esencial, recomendamos a los usuarios que eviten estas aplicaciones VPN a toda costa. Al buscar una VPN efectiva, recomendamos a los usuarios que hagan una investigación debida. Pregúntate a ti mismo lo siguiente:

  • ¿Conozco a este desarrollador o marca de VPN? ¿Parecen confiables?
  • ¿Dónde está ubicada la VPN? ¿Está en un país respetuoso de la privacidad?
  • Para las aplicaciones móviles, ¿qué permisos requieren? ¿Realmente necesitan esos permisos para funcionar (como la cámara, el GPS, el micrófono)?
  • Gratis es genial, pero ¿puedes confiar en esta VPN? Hay pocas VPN gratuitas o VPN recomendables con opciones gratuitas de marcas reconocidas.

Asumir un rol activo al filtrar VPN buenas de las malas evitará a los usuarios muchos problemas en el futuro.

Echa un vistazo a nuestras otras investigaciones:

Descargo de responsabilidad:
Investigamos meticulosamente nuestras historias y nos esforzamos por presentar una imagen precisa a nuestros lectores. También somos humanos, y si crees que hemos cometido un error de hechos (en lugar de estar en desacuerdo con una opinión), contáctanos para que podamos investigar y corregir o confirmar los hechos. Comunícate con nosotros a través de nuestra página Contáctanos.