En esta investigación
(enlace en inglés) todo se reduce al número de permisos "normales" y
permisos "peligrosos" que solicita cada aplicación. Los permisos
"normales" por lo general son otorgados por Android: permiten que las
aplicaciones permanezcan activas mientras las usas o que se conecten a Internet
cuando se los indiques.
Los permisos
"peligrosos" pueden poner en riesgo tu privacidad. Algunos son
inofensivos o requeridos por Android. Por ejemplo, cuando una aplicación
solicita datos de ubicación general para verificar si una red Wi-Fi pública es
confiable. Pero en ocasiones los permisos "peligrosos" incluyen
solicitudes innecesarias, como cuando una aplicación quiere cambiar la
configuración de tu sistema, acceder a la lista de tus llamadas telefónicas o
determinar tu ubicación exacta.
Como lo destacó
originalmente nuestro sitio hermano ZDNet, varias populares aplicaciones de VPN
para Android han estado solicitando más permisos de los que necesitan (enlace
en inglés). Estas son las que hay que vigilar con atención.
YOGA
VPN: 6 PERMISOS PELIGROSOS
Yoga encabeza la lista
con seis solicitudes de permisos peligrosos, entre ellos conocer el estado de
tu teléfono. Quiere saber tu número de teléfono, en qué red celular te
encuentras y si estás en una llamada. ¿Para qué necesitan estos datos?
Es difícil decirlo,
puesto que la política de privacidad (de 373 palabras) de Yoga de algún modo se
las ingenia para afirmar tanto que "no recopilamos su información
personal" como que "podemos recopilar su información cuando se
comunica con nosotros".
No importa dónde las
encuentres, deberías empezar a evitar las VPN gratuitas. Tal es el caso de
Yoga, que figura en el análisis de Top10VPN (enlace en inglés) sobre las 10
mejores aplicaciones gratuitas de VPN, donde se indica que cuenta con muy poca
protección de la privacidad. Otro tema importante es que no sabemos dónde se
encuentra ubicada la sede de Yoga. No hemos podido averiguarlo, pues la empresa
aún no ha respondido a nuestra solicitud de comentarios.
PROXPN
VPN: 5 PERMISOS PELIGROSOS
Sí, esta VPN ofrece
transferencia de datos y tiempo de conexión ilimitados. Y sí, tiene una
política de registro cero (al menos pasadas dos semanas, cuando supuestamente
se eliminan todos los registros).
Pero proXPN opera desde
Estados Unidos. Eso por sí solo ya es un factor decisivo para no utilizarla. Si
estás buscando maximizar tu privacidad, por lo general te conviene evitar
cualquier VPN con sede en EE.UU., el Reino Unido, Canadá, Australia y Nueva
Zelanda: los llamados "Cinco Ojos" (Five Eyes) de la comunidad de
inteligencia mundial. Los Cinco Ojos han hecho un llamado abierto a lo que la
mayoría de las personas considera como el fin de la privacidad en línea: la
instalación de un acceso gubernamental de puerta trasera (backdoor) a la
tecnología de comunicación privada.
Nos comunicamos con
proXPN para hacerle algunas preguntas sobre la cantidad de permisos que
solicita su aplicación. Pero nuestra primera pregunta fue si la compañía seguía
operando.
La aplicación no se ha
actualizado en la Google Play Store desde 2017, los dos usuarios de Twitter de
la compañía están inactivos desde 2018, muchos de los certificados de seguridad
de su sitio expiraron en marzo, un número cada vez mayor de comentarios de los
usuarios son quejas por no poder conectarse, y de los dos números de teléfono
públicos listados por proXPN, uno ya no está en funcionamiento y el otro ya no
acepta mensajes.
Ian Kline, quien dirige
el servicio al cliente y el soporte técnico de proXPN, nos respondió y dijo que
la compañía aún brinda ayuda a sus clientes a través de Facebook y del correo electrónico.
"Con respecto a la
aplicación proXPN, no ha habido actualizaciones en la aplicación, que es el
lado del cliente, puesto que ya estamos trabajando en nuestros servidores.
Tenemos planes de actualizar la aplicación oficial pronto", dijo en un correo
electrónico.
PREGUNTÉ
A KLINE SOBRE LOS RIESGOSOS PERMISOS DE PROXPN, Y ESTE ME RESPONDIÓ LO
SIGUIENTE:
"Esos permisos son
necesarios para que la interfaz de usuario actualice la ubicación únicamente en
el mapa que se muestra, así como al bloquear el teléfono y al actualizar las
ubicaciones del servidor".
"Si [el usuario]
prefiere no usar la aplicación oficial, puede utilizar el cliente oficial
OpenVPN que está disponible en la tienda de aplicaciones o el cliente oficial
IPsec de Strongswan si prefiere usar IPsec/IKEv2 VPN", dijo Kline por
correo electrónico.
En cualquier caso, no
hay razón alguna para permitir que proXPN (o cualquier otra VPN) acceda a tus
llamadas telefónicas, rastree cada paso que das y grabe información en tu
tarjeta SD, sobre todo cuando su limitado número de servidores ni siquiera
permite transmitir algo por Netflix.
HOLA
FREE VPN: 4 PERMISOS PELIGROSOS
Si la tristemente
célebre historia de Hola como una botnet (red de robots informáticos, también
conocidos como bots) mercenaria que se apropia del ancho de banda de sus
usuarios no ha bastado para convencerte de que debes tener mucha precaución al
acercarte a esta VPN, tal vez debas considerar si te gusta la idea de
proporcionarle información sobre el estado de tu teléfono (lo mismo que piden
proXPN y Yoga) y que esos datos se encuentren totalmente sin encriptar.
Cuando estalló el
escándalo de la botnet, el presidente ejecutivo de Hola, Ofer Vilenski, admitió
que fue engañado por un spammer, pero sostuvo que esta recolección de ancho de
banda era típica de este tipo de servicio.
"Asumimos que al
afirmar que Hola es una red [de pares, o peer-to-peer], estaba claro que las
personas estarían compartiendo su ancho de banda con la red comunitaria a
cambio de su servicio gratuito", escribió en el blog de la compañía en ese
entonces.
Pero investigadores de
Trend Micro lanzaron una advertencia a los posibles usuarios de Hola a finales
del año pasado, afirmando que "Hola VPN no es una solución VPN segura,
sino más bien un servicio de proxy web no encriptado".
OVPNSPIDER:
4 PERMISOS PELIGROSOS
¿Acaso OVPNSpider
necesita acceder a tus registros de llamadas para funcionar como una VPN?
¿Necesita conocer tu ubicación precisa, guardar cosas en tu tarjeta SD, y poder
cambiar la configuración de tu sistema? De ninguna manera.
En lo que respecta a su
calificación de 4.5 estrellas en la App Store y 4 estrellas en la Google Play
Store, no estoy muy convencido. El resumen del índice de riesgo de Top10VPN
detectó fugas de DNS, un tipo de falla de seguridad crítica en las VPN baratas
que deja expuesto tu tráfico de navegación a tu proveedor de servicios de
Internet. También indica que oVPNSpider dio resultados positivos en sus pruebas
de malware y adware. No recibimos una respuesta inmediata de oVPNSpider cuando
los contactamos para que comentaran al respecto.
EL
TRÍO FINAL: 4 PERMISOS PELIGROSOS
SwitchVPN, Zoog VPN y
Seed4.Me VPN piden todas lo mismo: quieren tus datos de ubicación específicos y
poder leer y guardar información en tu tarjeta SD. Todo ello innecesario.
Queremos destacar el
caso de Seed4.Me VPN. Por lo menos respondió a los investigadores de privacidad
(enlace en inglés), describió su uso de las funciones para la atención al
cliente e instruyó a los usuarios sobre cómo desactivar dichos permisos (e indicó
que estos se encuentran desactivados de manera predeterminada).
¿Y qué pasa con
SwitchVPN y ZoogVPN? ZoogVPN ha recibido una buena cantidad de elogios en
línea, pero hay algunas cosas que aun le falta hacer antes de convencerme: debe
poner a disposición de los usuarios de Android un interruptor de apagado,
decirnos cuánto tiempo conserva sus registros de uso y cambiar su sede a un
país que no esté sujeto a las leyes de retención de datos de la Unión Europea,
que conservan metadatos ocultos de manera similar a la NSA (la Agencia de
Seguridad Nacional de los Estados Unidos) en una suerte de pantano de
vigilancia masiva. Hasta entonces, aún contamos con mejores opciones.
"La aplicación
requiere acceso al almacenamiento para poder descargar el archivo de
configuración de OpenVPN y conectarse a él. Cuando se usa OpenVPN, se requiere
cargar el archivo de configuración para poder conectarse", dijo SwitchVPN
en un correo electrónico. "Así que creo que no es justo decir que
recopilamos estos datos y los almacenamos. Porque no lo hacemos".
SwitchVPN cuenta con un
interruptor de apagado, pero aún tiene su sede en EE.UU., así que no lo
recomiendo.
ZoogVPN también se puso
en contacto con nosotros.
"Nuestra
aplicación no requiere ningún permiso que se encuentre fuera del ámbito de la
prestación del servicio VPN", escribió un portavoz. "No hay nada más,
fuera de lo que requiere una aplicación de VPN para funcionar en un dispositivo
Android".
Puedes consultar las
solicitudes de permisos de la aplicación visitando la página oficial de Google
Play Store y haciendo clic en "Ver detalles" (View details) en la
parte inferior de la página, en "Permisos" (Permissions).
Para estar al tanto de
la investigación de Top10VPN y su análisis de aplicaciones con permisos
riesgosos, visita la actualización de agosto de su sitio web (enlace en
inglés).
¿EN
QUIÉN CONFIAR?
Me alegra que hayas
preguntado. Nuestros servicios VPN móviles favoritos están enfrentados en una
dura competencia, pero hasta el momento NordVPN lleva la delantera en 2019. Su
estricta política de no registro, interruptor de apagado y selección de 3,500
servidores en más de 61 países hacen difícil superarla.
Sin embargo, TorGuard
realmente le está haciendo la competencia a NordVPN. Acepta pagos a través de
bitcoin y ofrece una dirección de correo electrónico anónima. También está
acercándose cada vez más a NordVPN en términos de número de servidores, ya que
recientemente duplicó su oferta a más de 3,000.
Fuente, RH-Cnet
0 komentar: