El peligro de usar una VPN gratuita

El viejo dicho de que si algo es gratis en Internet es porque tú eres el productoha resultado cierto una vez más. En esta ocasión lo ha podido comprobar el millón de usuarios de la VPN gratuita Quickfox cuya información personal está disponible en Internet en una base de datos que ha localizado el medio WizCase

Por datos personales no referimos a muy personales y muy por encima de lo que debería conocer del usuario un servicio de estas características. Hablamos de correos electrónicos, números de teléfono, información sobre el tipo de dispositivo en el que se usó la VPN y contraseñas encriptadas mediante un método, MD5, considerado antiguo y vulnerable a técnicas modernas de crackeo de contraseñas.

Peor aún y más tratándose de una VPN, las IP originales de los usuarios también están registradas en las bases de datos, lo que facilita aún más su identificación y Quickfox también almacenó datos sobre el software que tenían instalado en sus equipos incluyendo ubicación del archivo, fecha de instalación y versión del software.

Una VPN es una red privada virtual que enmascara la IP (la dirección numérica que identifica el dispositivo en Internet) para mantener la privacidad y poder navegar por Internet sin estar sujeto a restricciones geográficas, entre otros usos.

Quickfox es una VPN china empleada principalmente por ciudadanos chinos residentes en otros países que así pueden acceder a webs del país asiático que no pueden visitarse desde fuera de sus fronteras. Los usuarios afectados se encuentran principalmente en Estados Unidos, japón, Indonesia y Kazajistán.

¿Por qué almacenaba Quickfox toda esa información sensible de sus usuarios?

Probablemente tiene que ver el que se trate de una VPN gratuita, como hay otras en el mercado, y que la infraestructura de servidores necesaria para dar el servicio no se paga sola. Es decir, los datos que recogen son una vía de ingresos para ellos como sucede con tantos y tantos servicios en Internet. Lo que no es tan habitual es la extensión de la información recogida y el hecho de que fueran almacenados en un servidor Elasticsearch sin las medidas de seguridad adecuadas, de forma que los registros estaban accesibles para cualquier con un navegador y que supiera donde mirar.

Toda la información almacenada pone en peligro a sus usuarios y les hace vulnerables a diversas formas de cibercrimen. Es importante recordar que por muy tentadoras que sean las VPN gratis nadie da duros a cuatro pesetas. Y quelos conceptos “privacidad” y “empresa que opera bajo una dictadura” encajan tan bien como el agua y el aceite.