Varios proveedores de VPN conocidos, incluidos Surfshark, TurboVPN y VyprVPN, se encuentran entre las seis marcas acusadas de una práctica riesgosa que potencialmente compromete la seguridad del usuario.

Como parte de su programa Deceptor, la firma de investigación de seguridad AppEsteem descubrió que las aplicaciones de los proveedores instalan un certificado de autoridad certificadora (CA) raíz confiable en los dispositivos de los usuarios, y algunos proveedores ni siquiera obtienen el consentimiento del usuario para hacerlo.

AppEsteem amplió recientemente su programa para incluir proveedores de VPN, explorando las aplicaciones de VPN en busca de comportamientos engañosos y riesgosos que podrían dañar a los consumidores.

No es una buena práctica

AppEsteem también señaló que el popular proveedor de VPN Surfshark instala su certificado CA raíz en el dispositivo del usuario incluso cuando el usuario cancela la instalación. Surfshark menciona claramente el uso de su propio certificado raíz de confianza «solo para conectarse a servidores VPN mediante el protocolo IKEv2».

El experto en seguridad de LaComparacion Pro, Mike Williams, dijo: “La instalación de certificados raíz confiables no es una buena práctica. «Si se ve comprometido, podría permitir que un atacante falsifique más certificados, se haga pasar por otros dominios e intercepte sus comunicaciones».

Una captura de pantalla de la pantalla de configuración de la suite de seguridad surfshark one

(Crédito de la imagen: futuro)

¿Cuáles son los riesgos de instalar un certificado raíz de confianza adicional?

Los certificados de CA raíz son la piedra angular de la autenticación y la seguridad en el software y en Internet. Son emitidos por una Autoridad Certificada (CA) y esencialmente verifican que el propietario del software/sitio web es quien dice ser.

La instalación de un certificado de CA raíz adicional puede comprometer la seguridad de todo su software y comunicaciones. Cuando incluye un nuevo certificado raíz de confianza en su dispositivo, permite que el tercero recopile casi todos los datos transmitidos hacia o desde su dispositivo.

Además, un atacante que robe la clave privada que pertenece a una CA raíz de confianza puede generar certificados para sus propios fines y firmarlos con la clave privada.

Esto se aplica a aplicaciones de software, sitios web o incluso correos electrónicos. Todo es posible, desde un ataque man-in-the-middle hasta la instalación de malware, como lo ilustran los ataques en 2021 en Mongolia y 2020 en Vietnam, donde las autoridades de certificación se vieron comprometidas.

El poder que tienen los certificados Root CA sobre el dispositivo de un usuario es la razón por la cual actores estatales como Rusia han estado presionando a los ciudadanos para que instalen su nueva Root CA, un movimiento que la EFF describe como «abrir el camino a una década de vigilancia digital».

Los seis proveedores de VPN que se han encontrado para instalar certificados de CA raíz en los dispositivos de los usuarios son Surfshark, Atlas VPN, VyprVPN, VPN Proxy Master, Sumrando VPN y Turbo VPN. Dos de los proveedores más conocidos de la lista, Surfshark y Atlas VPN, se unieron recientemente a la empresa matriz de NordVPN, Nord Security. Sin embargo, NordVPN no se encontraba entre los proveedores mencionados.

¿Por qué querría una empresa de VPN instalar un certificado raíz de confianza?

No creemos que esto sea necesario, incluso para la compatibilidad con IKEv2, y la mayoría de las VPN mejor calificadas no lo hacen.

Cuando un proveedor de VPN instala un certificado de CA raíz adicional, solo confía en el cifrado y las verificaciones de autenticidad del proveedor, ya que el certificado raíz de confianza puede anular las verificaciones de encriptación y autenticidad del servicio real que está utilizando (por ejemplo, Mozilla Firefox, WhatsApp) .

Esto permite que el proveedor de VPN intercepte y controle esencialmente todo su tráfico, en el peor de los casos. Nos hemos puesto en contacto con Surfshark, Atlas VPN y VyprVPN y actualizaremos el artículo cuando nos comuniquemos con usted.

Compare los mejores servicios VPN generales en este momento:

Share This