Las aplicaciones de VPN sin coste, que prometen anonimato y seguridad, están bajo la lupa por exponer datos sensibles de sus usuarios. Un nuevo análisis independiente advierte de que millones de personas podrían estar entregando su información sin saberlo cada vez que activan una de estas herramientas.
La investigación abarca tanto iOS como Android y concluye que no todas las VPN gratuitas cumplen lo que prometen: algunas carecen de políticas de privacidad válidas, piden permisos excesivos y usan componentes vulnerables, abriendo la puerta a filtraciones y accesos indebidos.
Qué revela el análisis de Zimperium
El informe técnico Insecure Mobile VPNs: The Hidden Danger examinó 800 aplicaciones de VPN móviles —400 para iOS y 400 para Android— y halló un patrón preocupante en muchas de ellas.
Según los datos, el 25% de las VPN gratuitas para iOS carece de una política de privacidad válida, una infracción que deja a los usuarios sin claridad sobre cómo se tratan sus datos.
En Android, el problema no es menor: el 18% de las apps analizadas no ofrece una política de privacidad accesible, lo que dificulta ejercer un consentimiento informado y entender con quién se comparten los datos.
El estudio también detecta que el 6% solicita permisos privilegiados que no deberían estar al alcance de una VPN, habilitando accesos profundos al sistema que multiplican el riesgo de abuso.
Permisos intrusivos y bibliotecas vulnerables
Entre los permisos problemáticos destacan, en Android, AUTHENTICATE_ACCOUNTS y READ_LOGS, que permiten gestionar cuentas y leer registros del sistema, respectivamente, con un potencial de espionaje difícil de justificar en una VPN.
En iOS, los investigadores describen solicitudes de acceso continuo a la geolocalización y a la red local, una combinación que puede perfilar movimientos y escanear dispositivos cercanos sin una razón funcional sólida.
Además, varias aplicaciones integran versiones obsoletas de OpenSSL vulnerables a Heartbleed (CVE-2014-0160), un fallo que posibilita el acceso a memoria y la exfiltración de claves y contraseñas.
Incluso se detectaron clientes con validación incorrecta de certificados: alrededor del 1% resultó susceptible a ataques de intermediario (MitM), poniendo en riesgo todo el tráfico supuestamente cifrado.
Un riesgo que también afecta a las empresas
En entornos con políticas BYOD, un cliente de VPN inseguro puede convertirse en el eslabón débil que filtra datos corporativos o abre la puerta a intrusiones en redes internas.
La falta de transparencia —incluyendo manifiestos de privacidad ausentes o incongruentes con el funcionamiento real— impide a las compañías evaluar adecuadamente el riesgo y aplicar controles eficaces.
Apps trampa: IPTV+VPN que instala un troyano bancario
La firma Cleafy alertó sobre Mobdro Pro IP TV + VPN, una app que se presentaba como solución de streaming y VPN, pero actuaba como instalador del troyano bancario Klopatra.
Una vez concedidos los permisos, los atacantes lograban control total del dispositivo, con capacidad para leer mensajes, robar credenciales y ordenar transferencias fraudulentas.
La campaña, con cerca de 3.000 infecciones confirmadas —principalmente en España e Italia—, se apoyó en técnicas de ingeniería social y en el abuso de los Servicios de Accesibilidad de Android.
La distribución fuera de Google Play (sideloading) y el uso de dos botnets activas facilitaron la propagación, ilustrando el riesgo añadido de instalar apps desde fuentes no verificadas.
Servicios populares bajo la lupa por transparencia y cifrado
El VPN Transparency Report elaborado por Open Technology Fund examinó 32 proveedores comerciales y documentó debilidades en varios servicios muy descargados.
Los investigadores alertan de protocolos presentados como “cifrado robusto” que en realidad emplean tecnologías como Shadowsocks, no pensadas para garantizar confidencialidad de extremo a extremo.
Con algunos clientes que superan los 100 millones de descargas, la combinación de popularidad y opacidad en el funcionamiento interno incrementa la superficie de riesgo para usuarios menos expertos.
Este hallazgo refuerza la necesidad de en cualquier proveedor que maneje tráfico sensible.
Por qué se siguen usando VPN gratis y cómo reducir el riesgo
Una encuesta citada por NordVPN revela que el 12% de los usuarios de VPN en Reino Unido aún depende de servicios gratuitos, pese a que el nivel de conocimiento general alcanza ya el 80%.
Entre los motivos figuran la percepción de ahorro, valoraciones en tiendas centradas en rapidez y la falsa equivalencia de “lo básico” entre opciones gratuitas y de pago.
Kaspersky recuerda que, históricamente, han servido de cebo para monetizar datos o alimentar redes de bots, algo que encaja con los hallazgos técnicos recientes.
Para minimizar riesgos, los expertos recomiendan evitar el sideloading, revisar permisos y escoger proveedores con auditorías externas, política no-logs y cifrado actualizado. En España, el INCIBE sugiere comprobar la jurisdicción de la empresa, la tecnología empleada y su compromiso con la protección de datos antes de instalar nada.
El panorama que dibujan estas investigaciones es claro: las VPN gratuitas, lejos de blindar la navegación, pueden comprometerla. Elegir herramientas con garantías, leer la letra pequeña y desconfiar de lo “ilimitado y gratis” son pasos clave para no convertir la privacidad en la moneda de cambio.
