Filtración de datos y VPN gratis: lo que debes saber

La creciente preocupación por las filtraciones de datos de las VPN gratis

Una VPN está diseñada para proteger tu tráfico de internet, usando cifrado VPN para crear un túnel seguro hacia los servidores del proveedor. 

Cuando te conectas, el cliente VPN fija claves de encriptación con un servidor remoto operado por el proveedor y envía tu tráfico a través de ese túnel, así las páginas web ven la dirección IP de ese servidor en lugar de la tuya. Además, cualquier otro usuario en tu red local solo puede ver datos cifrados. Este túnel VPN es el núcleo de cómo funciona una VPN.

Las VPN gratuitas son atractivas para las personas porque no tienen la barrera que para muchos puede significar el pago y venden la protección VPN como algo que puedes activar en segundos. El problema es que mantener una VPN no puede ser gratis. Los servidores, el ancho de banda, el mantenimiento y el trabajo de seguridad requieren financiación. Estos son los gastos de una VPN, así haya usuarios que no pagan una suscripción.

Claro, puede que los proveedores de VPN gratuitas anuncien una fuerte privacidad, pero solo algunos logran sobrevivir recopilando datos de usuarios, conectándose a redes de publicidad agresivas o funcionando con una infraestructura escasa y frágil. Y cuando no hay suficientes recursos para proteger las bases de datos o monitorear los sistemas para buscar señales de debilidades o fallas, el riesgo de una fuga de datos se dispara.

Con más reportes surgiendo sobre filtraciones de datos que involucran servicios de VPN gratis, la preocupación sobre su nivel real de protección se ha vuelto más difícil de ignorar.

Riesgos de seguridad y privacidad de las VPN gratuitas

Detrás de la promesa de que son "gratis", muchos servicios VPN vienen con sus propios riesgos de seguridad y privacidad digital. Los principales son:

• Prácticas de seguridad débiles: como operan con presupuestos ajustados, muchos servicios de VPN gratuitos terminan usando servidores viejos y desactualizados, controles de acceso más débiles o bases de datos mal configuradas, precisamente el tipo de ajustes que los atacantes buscan.
• Registro y reventa de datos: algunas VPN gratis recopilan información de usuarios para generar ingresos. Estos datos pueden incluir detalles de cuenta o metadatos de conexión, que luego pueden compartirse con terceros o ser vulnerables en caso de una filtración.
• Malware y rastreo: las investigaciones han encontrado algunas apps VPN gratuitas que incluyen bibliotecas de rastreo, adware invasivo o componentes que se comportan de manera similar al malware, lo contrario a la seguridad que prometen.
• Políticas de privacidad engañosas: un servicio de VPN gratis puede prometer una recopilación mínima de datos en sus comunicaciones, mientras que su política de privacidad incluye amplias excepciones que permiten el registro y la retención de información.
• Permisos excesivos de aplicaciones: muchas apps de VPN gratis para Android, iOS o para PC solicitan acceso a funciones del dispositivo que no están relacionadas con la funcionalidad VPN, ampliando los datos que pueden recopilar y aumentando la cantidad de información que podría verse comprometida si la aplicación es atacada.

Ejemplos reales de filtraciones de datos en VPN gratis

Las filtraciones de datos que involucran servicios de VPN gratuitos no aparecen en las noticias de cada semana, pero ocurren con suficiente frecuencia como para formar un patrón claro. Varios incidentes bien documentados muestran cómo los datos de los usuarios pueden quedar expuestos cuando fallan los controles de seguridad.

Venta de registros de SuperVPN, GeckoVPN y ChatVPN

En 2021, apareció una publicación en un popular foro de hackers donde un usuario vendía tres bases de datos separadas. Según informes que luego fueron publicados por Cybernews, el vendedor afirmaba que los datos provenían de tres servicios VPN de Android: SuperVPN, GeckoVPN y ChatVPN, y que el conjunto combinado tenía alrededor de 21 millones de registros de usuarios. SuperVPN y GeckoVPN eran apps de VPN gratis para Android, y ChatVPN se promocionaba como gratuita en ese momento u ofrecía una prueba gratis.

Lo que hizo este caso aún más extraño fue que se informó que el cibercriminal extrajo los datos de bases de datos con acceso público. Supuestamente, eran vulnerables porque dejaron las credenciales predeterminadas de la base de datos. Nunca las cambiaron. En otras palabras, la exposición se dio por negligencia, no una operación sofisticada.

Esto es lo que presuntamente se expuso:

• Datos relacionados con pagos.
• Contraseñas generadas aleatoriamente.
• Nombres completos.
• Direcciones de email.
• Ubicaciones geográficas.
• Historiales de inicio de sesión.
• Números de serie de dispositivos.
• Información de dispositivos.
• Nombres de usuario.

Siete apps VPN dejan bases de datos expuestas

Otra fuga importante y que llamó la atención por su gran volumen, involucró a siete proveedores VPN con sede en Hong Kong: UFO VPN, FAST VPN, Free VPN, Super VPN, Flash VPN, Secure VPN y Rabbit VPN. 

Se reveló más de un terabyte de registros de usuarios, a pesar de que estas VPN afirmaban no guardar este tipo de información. Los registros eran de acceso público y no contaban con las protecciones que un servicio que maneja datos sensibles debería tener como base.

Lo que supuestamente se expuso:

• Contraseñas en texto.
• Detalles de cuentas y conexiones.
• Direcciones de residencias.
• Direcciones de correo electrónico.
• Registros de actividad en internet.
• Direcciones IP.

Los registros de conexión de BeanVPN aparecen en una base de datos abierta

BeanVPN es otro ejemplo de cómo una VPN puede fallar. Investigadores de seguridad informaron que una base de datos expuesta vinculada a este servicio de VPN gratuita contenía registros de conexión, incluyendo identificadores y marcas de tiempo que nunca deberían haber sido accesibles. El problema, una vez más, no fue que alguien "interceptara el túnel VPN". El problema fue que el proveedor supuestamente dejó registros almacenados y accesibles sin la protección adecuada.

Lo que aparentemente se expuso:

• IDs de servicio de Google Play.
• IDs de dispositivo.
• Direcciones IP.
• Marcas de tiempo de conexión.
• Otra información de diagnóstico.

Estos incidentes no están hacen parte de las "mayores filtraciones de datos", pero son muy relevantes por una razón diferente. Tienen el mismo fallo de muchos servicios de VPN gratis, donde las promesas de privacidad no pueden cumplirse por una infraestructura que nunca fue lo suficientemente fuerte para respaldarlas.

Qué sucede cuando una VPN gratuita sufre una filtración de datos

Así sea una VPN gratis o de pago, una filtración que involucre datos personales puede tener consecuencias reales. Dependiendo del tipo de información expuesta, los datos robados que caen en las manos equivocadas pueden llevar a robo de identidad, cuentas fraudulentas abiertas a nombre de otra persona y preocupaciones financieras o legales.

Incluso cuando no hay un daño inmediato, una filtración elimina permanentemente el control sobre los datos expuestos. Una vez que la información personal circula fuera de un sistema seguro, es muy complicado que los usuarios recuperen el control sobre dónde termina o cómo se usa. 

Por eso una VPN de confianza te protege de los hackers no solo a través de una encriptación fuerte, sino también por el manejo y almacenamiento disciplinado de los datos de usuario. Sin esta seguridad, el cifrado VPN por sí mismo no puede compensar sistemas de backend mal protegidos.

¿Qué tipos de datos se exponen en las brechas de información?

Las filtraciones de VPN gratuitas que se han documentado hasta ahora no son operaciones de "túneles VPN siendo descifrados", en cambio, son brechas ordinarias de bases de datos. Los informes describen registros que incluyen nombres y apellidos, direcciones de email, detalles relacionados con pagos e identificadores de dispositivo o cuentas. En algunos casos, también se expusieron datos de direcciones IP, lo que aumenta la importancia de la fuga.

Es importante aclarar que los informes disponibles no confirman que el historial de navegación o el tráfico encriptado por VPN se hayan incluido en estos incidentes. El problema fue la falta de seguridad en el almacenamiento, no que la encriptación haya sido descifrada. Igualmente, los datos sensibles que se expusieron pueden llevar a riesgos reales, especialmente si los atacantes logran combinarlos con información personal de otras filtraciones.

Cómo protegerte de las filtraciones de datos de VPN gratuitas

Prácticamente cualquier servicio online podría sufrir una filtración de datos, pero las VPN gratis pueden enfrentar un mayor riesgo porque muchas operan sin el personal y los presupuestos de seguridad necesarios para proteger con los estándares correctos los datos de los usuarios. La única forma de evitar este tipo de fugas de información es no usar ni registrarte con un servicio de VPN gratuito.

Si ya tienes una cuenta con un proveedor de VPN gratis, algunos pasos pueden reducir el riesgo:

1. 1.Limita lo que compartes. No entregues detalles adicionales que el servicio no necesita para funcionar.
2. 2.Cierra las cuentas que ya no uses. Elimina cuentas que no estén activas y solicita la eliminación de datos donde el proveedor lo ofrezca.
3. 3.Refuerza la cuenta de correo vinculada a la VPN. Usa una contraseña fuerte y única y habilita la autenticación en dos pasos.
4. 4.Toma las notificaciones en serio. Trata las alertas de inicio de sesión inesperadas, restablecimientos de contraseña y notificaciones de pago como señales de advertencia.
5. 5.Prioriza a los proveedores que pueden probar sus afirmaciones. Una VPN de confianza que no registra tu actividad debe respaldar sus políticas y su postura de seguridad con transparencia y auditorías independientes, no con lenguaje de marketing. Por ejemplo, la política de cero registros de NordVPN ha sido verificada por informes independientes que los usuarios pueden conocer.

¿Deberías usar servicios de VPN gratis?

No, no deberías usar una VPN gratuita. Una VPN gratis puede sonar como un buen negocio, pero el precio rara vez revela por qué es así. La duda entre VPN gratis vs. VPN de pago generalmente se reduce a qué recopila, qué asegura y qué puede probar el proveedor. 

Los controles de seguridad débiles, las políticas de registro vagas o abiertas a interpretaciones y los modelos de ingresos basados en publicidad son comunes en los servicios de las VPN gratuitas, y cada uno de ellos presenta riesgos que están directamente en conflicto con lo que se supone que debe proporcionar esta herramienta.

Los servicios de VPN de pago funcionan con incentivos diferentes. Invierten en equipos de seguridad, publican políticas claras y traen auditores independientes porque la responsabilidad mantiene al servicio vivo y próspero. 

NordVPN refleja este estándar a través de auditorías periódicas e independiente, y un compromiso documentado con la protección de datos, que también es el lente que las personas deberían usar al juzgar las funciones de NordVPN y las afirmaciones de cualquier otro servicio. En cualquier decisión seria sobre proveedores, este tipo de evidencia tiene mucho más peso y es mejor que una VPN gratis pidiéndote que confíes en ella.

Una herramienta como las VPN debería reducir la incertidumbre, no aumentarla. Y si el punto es la privacidad en internet, la opción más segura es un servicio que pueda mostrar, en términos concretos y claros, cómo protege los datos de los usuarios, en lugar de pedir que crean sus afirmaciones basándose solamente en la confianza.