En esta investigación (enlace en inglés) todo se reduce al número de permisos "normales" y permisos "peligrosos" que solicita cada aplicación. Los permisos "normales" por lo general son otorgados por Android: permiten que las aplicaciones permanezcan activas mientras las usas o que se conecten a Internet cuando se los indiques.
Los permisos "peligrosos" pueden poner en riesgo tu privacidad. Algunos son inofensivos o requeridos por Android. Por ejemplo, cuando una aplicación solicita datos de ubicación general para verificar si una red Wi-Fi pública es confiable. Pero en ocasiones los permisos "peligrosos" incluyen solicitudes innecesarias, como cuando una aplicación quiere cambiar la configuración de tu sistema, acceder a la lista de tus llamadas telefónicas o determinar tu ubicación exacta.
Como lo destacó originalmente nuestro sitio hermano ZDNet, varias populares aplicaciones de VPN para Android han estado solicitando más permisos de los que necesitan (enlace en inglés). Estas son las que hay que vigilar con atención.
YOGA VPN: 6 PERMISOS PELIGROSOS
Yoga encabeza la lista con seis solicitudes de permisos peligrosos, entre ellos conocer el estado de tu teléfono. Quiere saber tu número de teléfono, en qué red celular te encuentras y si estás en una llamada. ¿Para qué necesitan estos datos?
Es difícil decirlo, puesto que la política de privacidad (de 373 palabras) de Yoga de algún modo se las ingenia para afirmar tanto que "no recopilamos su información personal" como que "podemos recopilar su información cuando se comunica con nosotros".
No importa dónde las encuentres, deberías empezar a evitar las VPN gratuitas. Tal es el caso de Yoga, que figura en el análisis de Top10VPN (enlace en inglés) sobre las 10 mejores aplicaciones gratuitas de VPN, donde se indica que cuenta con muy poca protección de la privacidad. Otro tema importante es que no sabemos dónde se encuentra ubicada la sede de Yoga. No hemos podido averiguarlo, pues la empresa aún no ha respondido a nuestra solicitud de comentarios.
PROXPN VPN: 5 PERMISOS PELIGROSOS
Sí, esta VPN ofrece transferencia de datos y tiempo de conexión ilimitados. Y sí, tiene una política de registro cero (al menos pasadas dos semanas, cuando supuestamente se eliminan todos los registros).
Pero proXPN opera desde Estados Unidos. Eso por sí solo ya es un factor decisivo para no utilizarla. Si estás buscando maximizar tu privacidad, por lo general te conviene evitar cualquier VPN con sede en EE.UU., el Reino Unido, Canadá, Australia y Nueva Zelanda: los llamados "Cinco Ojos" (Five Eyes) de la comunidad de inteligencia mundial. Los Cinco Ojos han hecho un llamado abierto a lo que la mayoría de las personas considera como el fin de la privacidad en línea: la instalación de un acceso gubernamental de puerta trasera (backdoor) a la tecnología de comunicación privada.
Nos comunicamos con proXPN para hacerle algunas preguntas sobre la cantidad de permisos que solicita su aplicación. Pero nuestra primera pregunta fue si la compañía seguía operando.
La aplicación no se ha actualizado en la Google Play Store desde 2017, los dos usuarios de Twitter de la compañía están inactivos desde 2018, muchos de los certificados de seguridad de su sitio expiraron en marzo, un número cada vez mayor de comentarios de los usuarios son quejas por no poder conectarse, y de los dos números de teléfono públicos listados por proXPN, uno ya no está en funcionamiento y el otro ya no acepta mensajes.
Ian Kline, quien dirige el servicio al cliente y el soporte técnico de proXPN, nos respondió y dijo que la compañía aún brinda ayuda a sus clientes a través de Facebook y del correo electrónico.
"Con respecto a la aplicación proXPN, no ha habido actualizaciones en la aplicación, que es el lado del cliente, puesto que ya estamos trabajando en nuestros servidores. Tenemos planes de actualizar la aplicación oficial pronto", dijo en un correo electrónico.
PREGUNTÉ A KLINE SOBRE LOS RIESGOSOS PERMISOS DE PROXPN, Y ESTE ME RESPONDIÓ LO SIGUIENTE:
"Esos permisos son necesarios para que la interfaz de usuario actualice la ubicación únicamente en el mapa que se muestra, así como al bloquear el teléfono y al actualizar las ubicaciones del servidor".
"Si [el usuario] prefiere no usar la aplicación oficial, puede utilizar el cliente oficial OpenVPN que está disponible en la tienda de aplicaciones o el cliente oficial IPsec de Strongswan si prefiere usar IPsec/IKEv2 VPN", dijo Kline por correo electrónico.
En cualquier caso, no hay razón alguna para permitir que proXPN (o cualquier otra VPN) acceda a tus llamadas telefónicas, rastree cada paso que das y grabe información en tu tarjeta SD, sobre todo cuando su limitado número de servidores ni siquiera permite transmitir algo por Netflix.
HOLA FREE VPN: 4 PERMISOS PELIGROSOS
Si la tristemente célebre historia de Hola como una botnet (red de robots informáticos, también conocidos como bots) mercenaria que se apropia del ancho de banda de sus usuarios no ha bastado para convencerte de que debes tener mucha precaución al acercarte a esta VPN, tal vez debas considerar si te gusta la idea de proporcionarle información sobre el estado de tu teléfono (lo mismo que piden proXPN y Yoga) y que esos datos se encuentren totalmente sin encriptar.
Cuando estalló el escándalo de la botnet, el presidente ejecutivo de Hola, Ofer Vilenski, admitió que fue engañado por un spammer, pero sostuvo que esta recolección de ancho de banda era típica de este tipo de servicio.
"Asumimos que al afirmar que Hola es una red [de pares, o peer-to-peer], estaba claro que las personas estarían compartiendo su ancho de banda con la red comunitaria a cambio de su servicio gratuito", escribió en el blog de la compañía en ese entonces.
Pero investigadores de Trend Micro lanzaron una advertencia a los posibles usuarios de Hola a finales del año pasado, afirmando que "Hola VPN no es una solución VPN segura, sino más bien un servicio de proxy web no encriptado".
OVPNSPIDER: 4 PERMISOS PELIGROSOS
¿Acaso OVPNSpider necesita acceder a tus registros de llamadas para funcionar como una VPN? ¿Necesita conocer tu ubicación precisa, guardar cosas en tu tarjeta SD, y poder cambiar la configuración de tu sistema? De ninguna manera.
En lo que respecta a su calificación de 4.5 estrellas en la App Store y 4 estrellas en la Google Play Store, no estoy muy convencido. El resumen del índice de riesgo de Top10VPN detectó fugas de DNS, un tipo de falla de seguridad crítica en las VPN baratas que deja expuesto tu tráfico de navegación a tu proveedor de servicios de Internet. También indica que oVPNSpider dio resultados positivos en sus pruebas de malware y adware. No recibimos una respuesta inmediata de oVPNSpider cuando los contactamos para que comentaran al respecto.
EL TRÍO FINAL: 4 PERMISOS PELIGROSOS
SwitchVPN, Zoog VPN y Seed4.Me VPN piden todas lo mismo: quieren tus datos de ubicación específicos y poder leer y guardar información en tu tarjeta SD. Todo ello innecesario.
Queremos destacar el caso de Seed4.Me VPN. Por lo menos respondió a los investigadores de privacidad (enlace en inglés), describió su uso de las funciones para la atención al cliente e instruyó a los usuarios sobre cómo desactivar dichos permisos (e indicó que estos se encuentran desactivados de manera predeterminada).
¿Y qué pasa con SwitchVPN y ZoogVPN? ZoogVPN ha recibido una buena cantidad de elogios en línea, pero hay algunas cosas que aun le falta hacer antes de convencerme: debe poner a disposición de los usuarios de Android un interruptor de apagado, decirnos cuánto tiempo conserva sus registros de uso y cambiar su sede a un país que no esté sujeto a las leyes de retención de datos de la Unión Europea, que conservan metadatos ocultos de manera similar a la NSA (la Agencia de Seguridad Nacional de los Estados Unidos) en una suerte de pantano de vigilancia masiva. Hasta entonces, aún contamos con mejores opciones.
"La aplicación requiere acceso al almacenamiento para poder descargar el archivo de configuración de OpenVPN y conectarse a él. Cuando se usa OpenVPN, se requiere cargar el archivo de configuración para poder conectarse", dijo SwitchVPN en un correo electrónico. "Así que creo que no es justo decir que recopilamos estos datos y los almacenamos. Porque no lo hacemos".
SwitchVPN cuenta con un interruptor de apagado, pero aún tiene su sede en EE.UU., así que no lo recomiendo.
ZoogVPN también se puso en contacto con nosotros.
"Nuestra aplicación no requiere ningún permiso que se encuentre fuera del ámbito de la prestación del servicio VPN", escribió un portavoz. "No hay nada más, fuera de lo que requiere una aplicación de VPN para funcionar en un dispositivo Android".
Puedes consultar las solicitudes de permisos de la aplicación visitando la página oficial de Google Play Store y haciendo clic en "Ver detalles" (View details) en la parte inferior de la página, en "Permisos" (Permissions).
Para estar al tanto de la investigación de Top10VPN y su análisis de aplicaciones con permisos riesgosos, visita la actualización de agosto de su sitio web (enlace en inglés).
¿EN QUIÉN CONFIAR?
Me alegra que hayas preguntado. Nuestros servicios VPN móviles favoritos están enfrentados en una dura competencia, pero hasta el momento NordVPN lleva la delantera en 2019. Su estricta política de no registro, interruptor de apagado y selección de 3,500 servidores en más de 61 países hacen difícil superarla.
Sin embargo, TorGuard realmente le está haciendo la competencia a NordVPN. Acepta pagos a través de bitcoin y ofrece una dirección de correo electrónico anónima. También está acercándose cada vez más a NordVPN en términos de número de servidores, ya que recientemente duplicó su oferta a más de 3,000.
Fuente, RH-Cnet
Tags:
Tecnologia