Un análisis realizado a 283 apps Android por investigadores de CSIRO, de la Universidad de Nueva Gales del Sur y la Universidad de Berkeley, pone de manifiesto que el 82% de las aplicaciones solicitan acceso a datos confidenciales, como cuentas de usuario y mensajes de texto. “Los resultados demuestran que, a pesar de las promesas de privacidad, seguridad y anonimato dadas por la mayoría de las aplicaciones en Redes Privadas Virtuales (VPN), millones de usuarios pueden estar inseguros y sujetos a prácticas abusivas infligidas por las aplicaciones VPN”, asegura el informe.
A pesar de que el 67% de las aplicaciones VPN identificadas ofrecieron servicios para mejorar la privacidad y seguridad en línea, el 75% de ellos utilizan servicios de terceros que no lo garantizan. “Muchas apps utilizan legítimamente permisos de la VPN para ofrecer alguna forma de anonimato en línea o para permitir el acceso a contenido censurado. Sin embargo, los desarrolladores de malware pueden abusar de ella para recolectar información personal de los usuarios”, afirman los investigadores, y añaden: “Según la cantidad de estas aplicaciones, millones de usuarios parecen confiar en estas apps a pesar de su malware potencial”.

Los investigadores explican que hasta el 16% de las aplicaciones analizadas enviaban el tráfico a través de otros usuarios en lugar de usar la nube.

“Este modelo de reenvío plantea preocupaciones de confiabilidad, seguridad y privacidad para los usuarios”, asegura el informe.

Calificaciones altas pueden ser engañosas

A pesar de los preocupantes hallazgos, un análisis de las revisiones de usuarios en la tienda Google Play asegura que una cuarta parte de las aplicaciones recibían una calificación de cuatro estrellas o superior, a pesar del potencial inherente de actividad maliciosa. Sólo un número marginal de usuarios planteó públicamente alguna inquietud por su seguridad o privacidad.

La documentación oficial de Android destaca los serios problemas de seguridad que plantea el permiso de VPN, ya que permite que una aplicación intercepte y tome el control total sobre el tráfico del usuario.

Los usuarios no se preocupan o no son conscientes de las implicaciones: menos del 1% tenía alguna preocupación de seguridad o privacidad acerca de las aplicaciones.

“Sin embargo, una gran parte de los usuarios móviles puede carecer del conocimiento técnico necesario para comprender las implicaciones potenciales”, sugirieron los investigadores. “A pesar de que las aplicaciones habilitadas para Android VPN están siendo instaladas por millones de usuarios móviles en todo el mundo, su transparencia operativa y su posible impacto en la privacidad y seguridad del usuario sigue siendo una incógnita, incluso para usuarios expertos en tecnología”.

¿Qué hacer entonces?

El profesor Dali Kaafar, investigador principal de CSIRO en privacidad y seguridad en línea y coautor del documento, instó a los usuarios de VPN a leer la letra pequeña y escudriñar qué permisos daban. “Siempre preste atención a los permisos solicitados por las aplicaciones. Este estudio muestra que los usuarios de apps VPN, en particular, deben tomarse tiempo para aprender acerca de los riesgos que corren con estos servicios”.

El equipo de investigación se puso en contacto con los desarrolladores de cada aplicación y compartió sus conclusiones. Las respuestas fueron mixtas. Muchos no respondieron, algunos que sí lo hicieron confirmaron las conclusiones del informe.

George Nott, CIO