Más de 21 millones de usuarios de VPN para Android tienen sus datos en venta en un popular foro de hacking. Tres bases de datos que cualquiera puede comprar para hacerse con información de millones de personas que confiaron en tres aplicaciones de VPN para Android.
Según el medio especializado CyberNews, en una investigación reciente han descubierto que los datos a priori confidenciales de los usuarios de tres apps de VPN para Android están a la venta en un foro de internet. Las apps afectadas son GeckoVPN, SuperVPN y ChatVPN. Por orden de usuarios, SuperVPN ha sido descargada más de 100 millones de veces. Por su parte, GeckoVPN cuenta con más de un millón de instalaciones. Y ChatVPN, más de 50.000 descargas.
Las tres aplicaciones están disponibles en Google Play para descargar. Como otros VPN para Android o para cualquier otra plataforma, ofrecen una versión gratuita y otra de pago. Y es aquí donde se agranda el problema, ya que aunque hayas pagado por un servicio de VPN para Android, puede que tus datos estén en las bases de datos puestas a la venta.
Datos en venta al mejor postor
Como si de un anuncio de segunda mano se tratara, un usuario de un foro de hacking ofrece los datos de tres servicios VPN para Android. El anunciante lista los enlaces de Google Play a esas apps, GeckoVPN, SuperVPN y ChatVPN, así como muestras de los datos que puedes comprar. En total, más de 21 millones de usuarios afectados.
Los datos en venta tienen que ver con las direcciones de correo electrónico de los usuarios, sus nombres de registro, el país de procedencia, sus contraseñas, los datos de pago del servicio VPN e incluso cuando caduca su suscripción.
Para realizar la compra, el anunciante indica su usuario de Telegram y ofrece muestras de los datos obtenidos. Incluso puedes pedir una muestra por país para obtener datos concretos por localización.
Es más, escudriñando los archivos de muestra podemos encontrar más datos expuestos, como los números de serie de los dispositivos en los que se instalaron las VPN para Android, el fabricante del smartphone, la ID del mismo y hasta los números IMSI de los teléfonos.
La clave está en las bases de datos
La pregunta del millón es, ¿cómo puede ser que una herramienta de seguridad como un VPN para Android exponga los datos de sus usuarios? Curiosamente, el problema no está en la app de VPN en sí. El problema recae en un defecto que afecta a otras muchas empresas que ofrecen servicios online. Y es que resulta irónico que una empresa dedicada a la seguridad, no tenga medidas de seguridad para guardar la información de sus clientes.
El propio anunciante que ha puesto estos datos en venta afirma que las tres bases de datos que ha obtenido estaban disponibles públicamente. La razón de esta vulnerabilidad es que los desarrolladores de las apps VPN para Android mantuvieron en las bases de datos las credenciales por defecto. O para entendernos, no cambiaron la contraseña por defecto. Un error que podemos cometer todos pero que supone un problema de imagen enorme cuando hablamos de proveedores de VPN.
No todas las VPN son iguales
Los servicios de VPN están al alza desde hace unos años. Hoy en día, cualquier empresa de seguridad que antaño ofrecía antivirus o cortafuegos, cuentan ya con su propia VPN para que puedas navegar con privacidad por internet.
Pero como ocurre con cualquier otro servicio o producto, no todos son igual de buenos. Por un lado, podemos plantearnos si queremos pagar o no por tener una VPN en el teléfono. Si utilizas servicios VPN gratuitos, debes plantearte que tal vez tus datos sirvan para financiar esa gratuidad, más o menos lo que ocurre con los servicios y productos gratuitos de Google.
Y si utilizas un VPN de pago, la cuestión es similar. ¿Es suficientemente seguro ese VPN? El tema no está en los servidores que ofrezca el proveedor, que también. La cuestión de fondo es si toda la información que has proporcionado a ese proveedor se almacena o se elimina. Y si ocurre lo primero, si se guarda con todas las precauciones o cualquiera con los conocimientos suficientes podría hacerse con esos datos, tal y como ha ocurrido en esta ocasión.
Para evitar que tus datos aparezcan en filtraciones como la que afecta a GeckoVPN, SuperVPN y ChatVPN, la precaución a tener en cuenta es fijarte en si el proveedor de VPN en el que vas a confiar guarda los datos o no. Tal y como indica el medio especializado CyberNews, encontrarás la respuesta en las Privacy Policies o políticas de privacidad del proveedor. Suelen estar en la página oficial, donde deberás buscar expresiones como log your data, information collected, access logs o similares.
Que un proveedor de VPN almacene datos como tus contraseñas, correos electrónicos o datos de compra no es ilegal. Pero si no guardan con seguridad, pueden aparecer en foros online en los que cualquiera puede comprarlos.
Encontrarás más información sobre esta filtración de datos que afectan a tres VPN para Android en este enlace de CyberNews.
