Un análisis de investigadores sometió 281 de las aplicaciones VPN gratuitas más populares disponibles en Google Play Store a un nuevo sistema de pruebas y halló que muchas fallan en su función básica: mantener el tráfico privado y seguro.
Las aplicaciones que presentaron al menos un problema acumulan más de 2.400 millones de instalaciones.
Los problemas identificados son de naturaleza fundamental. 29 aplicaciones permiten que el tráfico del usuario se filtre fuera del túnel cifrado, incluyendo consultas DNS que revelan los sitios web visitados. 61 aplicaciones envían datos en texto plano que cualquier persona que monitoree el tráfico en esa red puede leer. Cinco de ellas transmiten el archivo de configuración sin cifrar, lo que permite a un atacante en la red redirigir la conexión a un servidor bajo su control.
El sistema de análisis, denominado MVPNalyzer, fue presentado en la conferencia de seguridad NDSS en febrero de 2026 por investigadores de la Universidad de Michigan, la Universidad de Nuevo México y el IIT Delhi.
Se trata de la versión móvil de un estudio VPNalyzer anterior realizado por el mismo laboratorio para analizar software VPN de escritorio. Los investigadores lo describen como el primer marco de trabajo diseñado para auditar de forma sistemática y repetida las aplicaciones VPN de Android.
Una VPN encapsula el tráfico en un túnel cifrado, impidiendo que el proveedor de internet o un intruso en la red vean la actividad. Sin embargo, la aplicación VPN tiene acceso a todo el tráfico. No se elimina la necesidad de confiar en alguien, sino que esa confianza se traslada del proveedor de internet al desarrollador de la aplicación.
El estudio cuestiona si estas aplicaciones merecen esa confianza. Para muchas, la respuesta es negativa.
El hallazgo más preocupante se refiere a las cinco aplicaciones que descargan su archivo de configuración sin cifrar. Este archivo indica a la aplicación a qué servidor conectarse. Si se transmite en texto plano, un atacante en la misma red, por ejemplo un operador de Wi-Fi público, puede modificarlo durante la transmisión y redirigir la aplicación a un servidor bajo su control. El usuario se conecta, ve la pantalla habitual de «conectado» y todo se redirige a través del atacante. Los investigadores recrearon este ataque y confirmaron su funcionamiento en teléfonos bajo su control.
Los investigadores indicaron el problema como prioritario para los cinco proveedores. Dos respondieron, prometiendo trasladar el archivo a HTTPS. Uno afirmó que enviaría los archivos de configuración «de forma segura mediante HTTPS con la validación de certificado adecuada». Los otros tres no respondieron.
De las 29 aplicaciones con filtraciones, 24 filtraban tráfico DNS, exponiendo los sitios web visitados por los usuarios a la red local; solo estas aplicaciones representan aproximadamente 360 millones de instalaciones. Seis filtraban todo el tráfico de navegación fuera del túnel, y cuatro ejecutaban «túneles» sin ningún tipo de cifrado.
Por otro lado, 169 aplicaciones no intentaban disimular su tráfico como si fuera una VPN, por lo que un operador de red o un censor gubernamental puede detectarlas y bloquearlas con herramientas básicas. Casi dos tercios de estas aplicaciones anuncian capacidad para sortear el bloqueo o desbloqueo de contenido restringido, pero no hacen nada para cumplir esa promesa. Para alguien que vive en un país donde usar una VPN es arriesgado, ser fácilmente identificado como usuario de VPN es justo lo contrario de lo esperado.
Muchas personas instalan VPN para evitar ser rastreadas, pero muchas de estas aplicaciones rastrean de todos modos. 76 enviaron el ID de publicidad del dispositivo, un código único que los anunciantes usan para seguir a una persona de una aplicación a otra. El estudio reveló que más del 80% de las aplicaciones, 246 en total, se conectaron con servidores de publicidad y rastreo conocidos. Muchas también enviaron detalles como el modelo del teléfono, la versión del sistema operativo y el tamaño de la pantalla. Estos datos, combinados, forman una «huella digital» que puede identificar un dispositivo. Una aplicación incluso envió las coordenadas GPS exactas del teléfono.
Los investigadores también analizaron los archivos de configuración de OpenVPN incluidos con 108 de las aplicaciones. Solo una de ellas cumplió con todas las buenas prácticas de seguridad evaluadas en el estudio. Aproximadamente el 89% dependía de un único método de autenticación, ya fuera contraseña o certificado. Casi uno de cada cinco utilizaba cifrado débil u obsoleto, incluyendo Blowfish y triple DES. Algunos configuraban el cifrado de datos del túnel como «ninguno». Ambos cifrados antiguos presentan vulnerabilidades conocidas desde hace tiempo que permiten a un atacante recuperar datos de conexiones de larga duración.
La mayoría de estos problemas tiene la misma raíz: las aplicaciones apenas reciben mantenimiento y las comprobaciones automáticas de la Play Store las permiten. Muchas aparecen entre los primeros resultados de búsqueda, donde las etiquetas de seguridad de Google y su distintivo «Verificado» pretenden ser una señal de confianza. El estudio afirma que estas etiquetas funcionan más como señales de marketing que como garantía de seguridad real.
En agosto de 2025, investigadores del Citizen Lab de la Universidad de Toronto y de la Universidad Estatal de Arizona descubrieron que varias aplicaciones VPN populares para Android, con más de 700 millones de descargas combinadas, estaban vinculadas secretamente, compartían contraseñas codificadas y recopilaban datos de ubicación de forma encubierta.
En octubre de 2025, la empresa de seguridad móvil Zimperium informó que tres de las aproximadamente 800 aplicaciones VPN gratuitas analizadas aún incluían una versión vulnerable de la biblioteca OpenSSL a Heartbleed, un fallo conocido corregido en 2014. Muchas también solicitaban permisos de acceso al teléfono que iban mucho más allá de lo necesario para una VPN.
Los tres estudios coinciden: las aplicaciones VPN gratuitas siguen combinando una sólida promesa de privacidad con una ingeniería deficiente, y siguen alcanzando millones de instalaciones antes de que nadie lo detecte.
Los fallos más graves, la obtención de la configuración en texto plano y la configuración débil del túnel, son invisibles para el usuario. No se pueden detectar simplemente mirando la aplicación, y ahí radica el problema. La verdadera defensa no reside en el protocolo que anuncia la aplicación, sino en quién está detrás de ella.
Se recomienda a los proveedores que publiquen una auditoría de seguridad independiente reciente. Se debe desconfiar de las aplicaciones gratuitas que bombardean con anuncios. Las afirmaciones de «verificado» o «sin registros» deben considerarse como un punto de partida, no como una prueba. Los investigadores enumeran todas las aplicaciones señaladas en el apéndice del artículo, para que pueda verificarse si la que tiene en su teléfono se encuentra entre ellas.
El equipo planea lanzar MVPNalyzer públicamente para que las tiendas de aplicaciones y los reguladores puedan realizar estas comprobaciones por sí mismos.
Con Información de blog.segu-info.com.ar
