Muchas personas ya optan por usar una VPN (red privada virtual) para navegar de manera más segura y privada y disfrutar de opciones como contenidos de otros países, vetados para ciertos territorios.
Sin embargo, estas herramientas también están expuestas a las actividades maliciosas de los ciberdelincuentes. La compañía de ciberseguridad Trend Micro se hace eco de una supuesta violación de datos que involucra al servicio de VPN gratuito SuperVPN y que podría haber comprometido 360 millones de registros de datos de usuarios.
Entre la información personal a la que habrían tenido acceso los ciberdelincuentes están datos altamente confidenciales, como direcciones de email, direcciones IP originales, información de geolocalización, identificadores de usuario únicos o los sitios web visitados.
El hallazgo de la violación masiva de datos fue realizado por el investigador de seguridad Jeremiah Fowler, quien encontró una base de datos expuesta públicamente y vinculada al citado VPN con 133 GB de información.
Un origen incierto
Como curiosidad Fowler halló una aplicación llamada SuperVPN en Google Play y la App Store, pero cada una de ellas se atribuía a un desarrollador diferente. Lo que las une es que las dos parecen tener conexiones con China.
"Me comuniqué con ambas compañías para obtener mayor confirmación para determinar si están conectadas o comparten el mismo desarrollador. Sin embargo, nunca recibí una respuesta o comentario sobre mi descubrimiento. Ninguna de las empresas proporciona mucha información sobre su propiedad o ubicación en sus sitios web, lo que ha generado inquietudes sobre la transparencia y la seguridad de estos servicios VPN gratuitos", cuenta el investigador.
Según recoge Trend Micro, SuperVPN cuenta con un historial preocupante de vulnerabilidades de seguridad y fugas de datos. En instancias anteriores, se descubrió que la app tenía vulnerabilidades que podrían permitir ataques de intermediarios o Man-in-the-Middle (MITM) y exponer los detalles de las tarjetas de crédito de los usuarios.
Por otro lado, SuperVPN se había marcado en el pasado como una aplicación manipulada con malware.