Los investigadores afirman que Hotspot Shield VPN expone tú ubicación en internet
La red privada virtual Hotspot Shield dice que proporciona una forma de navegar por la web "anónima y privadamente", pero un investigador de seguridad ha publicado un código que podría identificar los nombres y las ubicaciones de los usuarios.
Un investigador de seguridad ha encontrado una manera de identificar a los usuarios de Hotspot Shield, un popular servicio gratuito de red privada virtual que promete a sus usuarios el anonimato y la privacidad.
Hotspot Shield, desarrollado por AnchorFree, tiene aproximadamente 500 millones de usuarios en todo el mundo que confían en su servicio de privacidad. Al hacer rebotar el tráfico de Internet y de navegación de un usuario a través de sus propios canales cifrados, el servicio dificulta que otros identifiquen usuarios individuales y escuchen a escondidas sus hábitos de navegación.
Pero un error de divulgación de información en el servicio de privacidad da como resultado una fuga de datos del usuario, como el país en el que se encuentra el usuario y el nombre de la red Wi-Fi del usuario, si está conectado.
Esa fuga de información se puede utilizar para restringir a los usuarios y su ubicación al correlacionar el nombre de la red Wi-Fi con datos públicos que son fáciles de conseguir.
"Al divulgar información como el nombre de Wi-Fi, un atacante puede simplificar o identificar fácilmente dónde se encuentra la víctima", dijo Paulos Yibelo, quien encontró el error. Combinado con conocer el país del usuario, "puede acotar una lista de lugares donde se encuentra su víctima", dijo.
ZDNet pudo verificar independientemente los hallazgos de Yibelo utilizando su código de prueba de concepto para revelar la red Wi-Fi de un usuario. Probaros en varias máquinas y diferentes redes, todas con el mismo resultado.
Las VPN son populares para activistas o disidentes en partes del mundo donde el acceso a internet está restringido debido a la censura, o monitoreado por el estado, ya que estos servicios enmascaran las direcciones IP de un usuario que pueden usarse para identificar la ubicación de una persona en el mundo real.
Ser capaz de identificar a un usuario de Hotspot Shield en un estado autoritario podría ponerlo en riesgo.
La vulnerabilidad se encuentra en el servidor web (alojado en el puerto 895) que Hotspot Shield instala en la ordenador del usuario. El código de prueba de concepto, de unas pocas líneas de largo, realiza llamadas desde un archivo JavaScript alojado en el servidor web para devolver varios valores confidenciales y datos de configuración.
Aunque el código de prueba de concepto solo devolvió los valores al usuario, dijo que el código podría adaptarse fácilmente para recopilar y almacenar la información del usuario, como la de un sitio web trampa.
Yibelo dijo que, en circunstancias limitadas, pudo obtener direcciones IP reales de un usuario, pero que los resultados fueron mixtos. ZDNet no vio direcciones IP reales en nuestras pruebas. Por su parte, AnchorFree negó enérgicamente que las direcciones IP reales estuvieran expuestas, contrariamente a lo que afirma Yibelo.
"Hemos revisado y probado el informe del investigador", dijo Tim Tsoriev, de AnchorFree. "Hemos encontrado que esta vulnerabilidad no filtra la dirección IP real del usuario ni ninguna información personal, pero puede exponer cierta información genérica como el país del usuario".
"Estamos comprometidos con la seguridad de nuestros usuarios, y esta semana ofreceremos una actualización que eliminará completamente el componente capaz de filtrar incluso información genérica", agregó.
Yibelo hizo detalles del código de vulnerabilidad y prueba de concepto el lunes luego de no recibir una respuesta de AnchorFree en diciembre. Yibelo luego presentó el error a través de una recompensa ofrecida por Beyond Security, una firma de ciberseguridad, que tampoco recibió respuesta de la compañía.
No es la primera vez que Hotspot Shield se ve envuelto en una controversia.
El año pasado, un grupo de privacidad basado en Washington DC acusó a la compañía en una presentación ante la Comisión Federal de Comercio de violar su promesa de "navegación anónima" al interceptar y redirigir el tráfico web a los sitios web asociados, incluidas las compañías publicitarias.
Actualización 8 de febrero de 2018: Hotspot Shield ha lanzado un parche que corrige estos problemas en la versión 7.4.6.