Un análisis de seguridad de Zimperium zLabs reveló una realidad alarmante: cientos de aplicaciones gratuitas de VPN, disponibles en las tiendas oficiales de Android e iOS, no solo incumplen su promesa de proteger la privacidad, sino que además exponen a los usuarios a graves riesgos de seguridad.
De las más de 800 apps analizadas, un porcentaje significativo mostró fallos críticos, desde el uso de librerías desactualizadas con vulnerabilidades conocidas, hasta permisos excesivos que permiten rastrear la actividad del dispositivo sin justificación real. En muchos casos, estas aplicaciones incluso filtran información personal sensible o emplean protocolos inseguros que dejan las comunicaciones expuestas a ataques.
Uno de los hallazgos más graves es que varias aplicaciones aún usan versiones antiguas de OpenSSL, afectadas por el histórico bug Heartbleed (CVE-2014-0160), descubierto en 2014. Este fallo permite a atacantes leer directamente datos sensibles de la memoria del servidor, como claves privadas o credenciales.
El estudio también identificó apps vulnerables a ataques Man-in-the-Middle (MitM) debido a una validación inadecuada de certificados digitales. Esto significa que un atacante podría interceptar y descifrar el tráfico del usuario, todo mientras la app aparenta ofrecer una conexión “segura”.
Problemas de privacidad y permisos abusivos
En iOS, el 25% de las aplicaciones revisadas incumplía con las políticas de privacidad de Apple, presentando declaraciones incompletas o engañosas. Algunas incluso accedían a funciones del sistema sin justificación clara, como rastreo de ubicación continua o acceso a la red local.
En Android, el panorama no es mejor. Varias VPN solicitaban permisos como READ_LOGS (que permite monitorear toda la actividad del dispositivo) o AUTHENTICATE_ACCOUNTS, con control sobre la gestión de cuentas de usuario. Estos permisos abren la puerta a un nivel de vigilancia que contradice por completo el objetivo de una VPN.
El impacto no se limita a usuarios individuales. En entornos corporativos con políticas BYOD (Bring Your Own Device), un empleado con una VPN comprometida puede convertirse en la puerta de entrada para ataques contra toda la red empresarial. Desde robo de credenciales hasta movimientos laterales dentro de la infraestructura, los riesgos son considerables.
Los investigadores de Zimperium advierten que la falsa sensación de seguridad que ofrecen estas aplicaciones “gratuitas” puede ser incluso más peligrosa que no usar una VPN. Recomiendan a usuarios y empresas optar por proveedores confiables, evaluar las apps con soluciones de seguridad móvil y desconfiar de aquellas que piden permisos innecesarios o carecen de políticas de privacidad transparentes.
En un mundo donde la privacidad digital se ha convertido en un activo vital, este informe expone la cara oculta de las VPN gratuitas: lejos de proteger, muchas se convierten en un riesgo real para millones de usuarios.