La Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA, por sus siglas en inglés) ha emitido una advertencia directa dirigida a los usuarios de dispositivos móviles para no utilizar una VPN personal.
En el comunicado se expresa la preocupación de la agencia frente al impacto de las VPN comerciales en la seguridad digital de usuarios de iPhone y Android.
La recomendación subrayó que muchos servicios de VPN personal pueden ser más perjudiciales que beneficiosos, al transferir los riesgos del proveedor de servicios de internet (ISP) a terceras empresas que, en numerosos casos, operan bajo políticas de privacidad poco claras.
Por qué las VPN comerciales pueden aumentar la superficie de ataque
De acuerdo con la CISA, utilizar una VPN para ocultar la actividad del usuario ante el ISP solo cambia el destinatario de la confianza. El uso de VPN personales implica que los riesgos asociados a la privacidad y seguridad de los datos, que tradicionalmente recaen sobre el proveedor de servicios de internet, ahora pasan al proveedor de VPN.
Esta transferencia no necesariamente reduce las amenazas, sino que en muchos casos amplía la cantidad de puntos vulnerables que pueden ser aprovechados por atacantes.
La agencia ja advertido que muchas compañías detrás de aplicaciones VPN tienen políticas de seguridad cuestionables, lo que expone datos sensibles del usuario a nuevas amenazas.
Esta advertencia se enmarca en una tendencia creciente de actores maliciosos que emplean herramientas sofisticadas para infiltrarse en teléfonos inteligentes. Las VPN fraudulentas, presentadas como soluciones legítimas, pueden utilizarse para infiltrarse en móviles y robar información personal o financiera.
Una reciente alerta de seguridad de Google también señaló que muchas aplicaciones disfrazadas de VPN, disponibles incluso en tiendas oficiales, sirven como vehículos para la infección por software espía.
Aumenta el uso de VPN ante nuevas medidas regulatorias
El interés global por las VPN creció debido a la necesidad de eludir restricciones geográficas o por respuesta a leyes de verificación de edad y protección de datos.
Desde TechRadar fue resaltado que este auge facilita que usuarios sin experiencia técnica recurran precipitadamente a soluciones dudosas, incrementando el riesgo de instalar apps ineficaces o maliciosas en su dispositivo móvil, especialmente entre quienes buscan privacidad sin evaluar la reputación del proveedor.
El aunque algunas VPN pueden ocultar la navegación ante el ISP, los usuarios se ven igual de expuestos si el proveedor VPN no garantiza una política estricta de no registros, usa protocolos débiles o carece de auditorías independientes respecto al manejo de los datos.
Claves para elegir una VPN segura y privada
Los expertos en ciberseguridad recomiendan adoptar varias precauciones antes de elegir un proveedor de VPN. Un punto crítico es verificar que mantenga una política transparente y demostrable de no registros y que haya sido auditado regularmente por terceros independientes.
Otra medida imprescindible es el uso de protocolos de cifrado robustos, reconocidos por su capacidad para proteger el tráfico de datos frente a interceptaciones.
También se recomienda la protección contra fugas de DNS y la función de conexiones multi-hop, que enruta el tráfico a través de varios servidores para dificultar aún más el rastreo de la actividad.
Cientos de aplicaciones de VPN gratuitas cuyas prácticas no cumplen las normativas básicas de protección de datos en internet. Muchas de estas aplicaciones recopilan información y la venden a terceros, o sirven como puerta de entrada para malware y robo de credenciales. Este riesgo se agrava por la falta de transparencia en el sector, que dificulta la identificación de proveedores confiables.
La propia CISA insiste en desconfiar de aquellas aplicaciones que no ofrezcan información clara sobre sus políticas de seguridad y almacenamiento de datos. El usuario, al buscar una solución rápida, puede exponer involuntariamente su historial de navegación, sus mensajes o sus contraseñas si opta por un proveedor malicioso o inadecuado.
La alerta de las autoridades norteamericanas refuerza la importancia de informarse antes de instalar o contratar servicios de privacidad en línea. Los especialistas sugieren buscar referencias y auditorías, confirmar la legitimidad del proveedor de VPN y desconfiar de ofertas gratuitas o extremadamente baratas sin reputación comprobada.