¿Buscas una VPN gratis? Así se financian

Por todos es conocido el funcionamiento de las VPN. Acompáñanos a dar un paso más allá.

Cuando hablamos con propiedad de una VPN nos referimos a una red privada virtual, mediante la cual dos o más dispositivos conectados pueden comunicarse entre ellos de forma segura mediante la creación de otra red a la que sólo ellos tienen acceso. Existen diferentes tipos pero, en este caso, vamos a ceñirnos a las VPN dialup. Es decir, a una Red Privada Virtual constituida mediante un software que se instala, normalmente, en un ordenador cliente, para crear una VPN contra un concentrador de túneles.

Históricamente esta forma de conexión se utilizaba para acceder desde una red pública a recursos privados que no están publicados en Internet. No obstante, desde la proliferación del interés por la privacidad y los robos de credenciales e información sensible, también se utiliza para impedir que nadie conectado a, por ejemplo, la red Wi-Fi pública de un hotel, una cafetería o un aeropuerto, pueda “espiar” nuestras comunicaciones. De hecho es una práctica muy recomendada hacer uso de conexiones VPN en redes en las que no podamos confiar.

Como es normal, establecer un túnel entre nuestro ordenador portátil conectado a la red Wi-Fi de un hotel y un concentrador de túneles tiene un coste. Lo habitual es, o bien disponer de los recursos de ese concentrador de túneles o, incluso, contratar una conexión VPN en formato servicio. Hace unos año empezaron a proliferar los negocios de conexiones VPN gratuitas manteniendo una máxima de los negocios que tiene especial valor en Internet: si no estás pagando por un producto, el producto eres tú.
 

Así es el gran negocio de las VPN gratis

 
Se han dado casos de todo tipo. Parece evidente que si una empresa permite utilizar un servicio que tiene un coste de manera gratuita, existe una forma de financiación subyacente que no nos está siendo revelada y, normalmente, es porque no nos gustará. Por ejemplo, hemos visto utilizar VPNs gratuitas para proteger nuestra privacidad cuando era, precisamente, el servicio VPN gratuito el que sí tiene acceso a nuestra información privada. Así, era éste quien establecía ese túnel cifrado, quien vendía nuestra información a terceros.

Otro modelo habitual es el de utilizar una VPN gratis a cambio de inyectar publicidad en el navegador del usuario, para lo cual, también se recopila información.

Se han llegado a dar casos bastante más graves como el de utilizar el tráfico restante disponible en la conexión en uso para generar de forma automatizada tráfico de pago a sitios web que será contabilizado como visitas. Incluso, ha llegado a ser empleado ese ancho de banda restante en ataques de denegación de servicio (DDoS). Es decir, ya no es que estemos siendo engañados para utilizar un servicio que ofreciéndonos privacidad en realidad la esté vendiendo, si no que directamente está utilizando nuestra conexión para cometer delitos.
 

El ataque a la extensión HolaVPN que robó criptomonedas a sus usuarios

 
El caso más reciente y que ha servido de punto de partida para este artículo es el de una famosa extensión de Google Chrome que, modificada ilícitamente por atacantes, llegó a dar una nueva vuelta de tuerca bastante sorprendente: robar criptomonedas de los usuarios. Como de costumbre, el ingenio al servicio del mal.

Lo más alarmante no es que se trate de una nueva extensión de Chrome que haya saltado momentáneamente el filtro de Google, sino que se trata de Hola VPN, una extensión famosa y bastante extendida que sufrió un robo de credenciales de la cuenta de Google asociada a la store de extensiones. De este modo, los atacantes aprovecharon para publicar una actualización de la extensión que incluía código malicioso, a fin de llevar a los usuarios infectados a un portal falso, suplantando el de MyEtherWallet.com. A continuación, robaron las credenciales y, en consecuencia, sus criptomonedas.

Por suerte, la actualización infectada fue detectada rápidamente y sólo estuvo publicada en el store de Chrome durante 5 horas hasta que fue revertida a una versión sin infectar. Aunque no se conocen los datos concretos de a cuántos usuarios pudo afectar, un periodo de tiempo como ese puede haber ocasionado cientos de robos.

Siempre se aconseja desconfiar de servicios gratuitos o a precios incongruentes, prestando especial atención a asuntos tan delicados como el de gestionar la seguridad de nuestras comunicaciones, donde la mano experta y la calidad son siempre un seguro para nuestra privacidad y la de nuestra empresa.