Investigadores de seguridad de las Universidades Sapienza de Roma y Queen Mary de Londres han presentado los resultados de su investigación sobre 14 servicios comerciales de redes privadas virtuales (VPN) populares revelando que la mayoría de ellos fugan el tráfico IPv6 y son vulnerables a ataques de secuestro de DNS IPv6.
Los servicios comerciales de VPNs analizados por los investigadores fueron: Hide My Ass, IPVanish, Astrill, ExpressVPN, StrongVPN, PureVPN, TorGuard, AirVPN, PrivateInternetAccess, VyprVPN, Tunnelbear, proXPN, Mullvad, y Hotspot Shield Elite.
Para los investigadores redirigir el tráfico a través de una VPN no puede ofrecer las mismas garantías de anonimato que proporciona Tor, debido principalmente a que las VPNs no fueron diseñadas originalmente para proporcionar anonimato y/o privacidad.
Los servicios comerciales de VPN han aumentado su popularidas después de las revelaciones de acciones gubernamentales de espionaje o que restringen el uso de Internet. También ha incidido en ello el aumento en el uso de redes públicas y los riesgos de seguridad que conlleva. Otros usuarios utilizan el servicio VPN para eludir restricciones de contenido o bloqueos por ISP o direcciones IP de un país. Existen servicios VPN que permiten al usuario seleccionar su punto de salida y obtener una dirección IP de un país distinto al que se encuentra.
Para su estudio los investigadores se suscribieron a 14 servicios VPN, descargaron el sistema cliente de cada uno de ellos para computadora de escritorio y dispositivos móviles y los probaron. Encontraron que la gran mayoría de los proveedores de servicios de redes VPN tenían vulnerabilidades que permitían la fuga del tráfico.
Los proveedores de servicios comerciales de redes VPN utilizan tecnologías obsoletas de túneles, como PPTP (con MS-CHAPv2), que pueden ser fácilmente rotas con ataques de fuerza bruta. La gran mayoría de los sistemas cliente VPN comerciales permiten la fuga de datos en las redes compatibles con IPv4 e IPv6 sin que el usuario se de cuenta. Al explorar diferentes aplicaciones, sitios web y sistemas operativos, encontraron que importantes cantidades de tráfico se exponen a la detección pública mientras los usuarios creen que todas sus interacciones están ocurriendo de forma segura sobre el túnel. Aún más importante: una pequeña cantidad de fuga de tráfico IPv6 fuera del túnel VPN tiene el potencial para exponer en realidad el historial completo de navegación del usuario inclusive en sitios web sólo IPv4.
El estudio revela que muchos servicios VPN comerciales siguen fallando para asegurar de forma apropiada el tráfico de los usuarios.
Los investigadores hacen recomendaciones a los usuarios que utilizan estos servicios de VPN, incluyendo mejores prácticas y las contramedidas para tratar estas vulnerabilidades.