Es posible que haya escuchado informes sobre una nueva vulnerabilidad denominada “TunnelVision” que puede permitir a un atacante eludir la protección VPN en determinadas circunstancias. Nos gustaría tomarnos un momento para explicar el informe y tranquilizarle sobre la seguridad de las aplicaciones y servicios de ExpressVPN.
El 6 de mayo de 2024, un informe titulado “TunnelVision – How Attackers Can Decloak Routing-Based VPNs For a Total VPN Leak” (en español: “Tunnelvision: cómo los atacantes pueden dejar al descubierto las VPN basadas en enrutamiento y provocar filtraciones VPN totales”) reveló una técnica que permitiría a un atacante eludir la protección VPN en algunas situaciones específicas. Los investigadores se pusieron en contacto con nosotros antes de la publicación del artículo, y hemos tenido tiempo de realizar pruebas exhaustivas por nuestra cuenta.
Tras una evaluación exhaustiva, podemos confirmar que la técnica descrita en el artículo tiene un impacto mínimo en los usuarios de ExpressVPN, gracias al robusto diseño de nuestro interruptor de seguridad, Network Lock. A continuación ofrecemos detalles sobre nuestra investigación y cómo se relaciona con las aplicaciones de ExpressVPN en cada una de las plataformas con las que somos compatibles.
Pero antes de entrar en los detalles técnicos, nos gustaría hacer hincapié en que este problema sólo puede producirse si se cumplen varias condiciones específicas.
Si está en casa y nadie ha pirateado su router, está a salvo. Si se está conectando por la red celular y no por la Wi-Fi de otra persona, está a salvo. Si la red Wi-Fi a la que se está conectando no está controlada por un actor malintencionado, está a salvo. Si está en una laptop y su interruptor de seguridad está activado, está a salvo. Y así sucesivamente. En la práctica, hace falta una combinación de factores, todos ellos simultáneos, para que este problema presente algún riesgo.
¿En qué consiste TunnelVision?
El problema planteado por los investigadores tiene su origen en el protocolo DHCP (Dynamic Host Configuration Protocol, en español: “protocolo de configuración dinámica de host”), una función inherente a los dispositivos de red como los routers. Este protocolo se utiliza para configurar automáticamente su dispositivo de forma que pueda conectarse a la red y a Internet en última instancia.
Parte de esta configuración consiste en indicar a su dispositivo exactamente dónde debe enviar el tráfico para que pueda llegar a Internet.
Sin embargo, existe una función DHCP menos conocida, conocida como Opción 121, que permite establecer rutas alternativas para destinos específicos —por ejemplo, las direcciones IP que albergan www.google.com—. Cualquier dispositivo que admita la Opción 121 tiene el potencial de que se le añadan estas pasarelas adicionales, desviando el tráfico que de otro modo seguiría la ruta predeterminada.
Cuando usted se conecta con ExpressVPN, establecemos nuestras propias rutas para indicar a su dispositivo que debe “hablar” con Internet a través de la conexión VPN. Esto funciona porque nuestras rutas son más específicas que la ruta predeterminada, por lo que tienen prioridad.
Sin embargo, con la Opción 121, es posible que se establezca una ruta aún más específica —una que sea más específica que la nuestra— provocando que el tráfico que debería fluir a través de la VPN fluya en su lugar a través de esta ruta más específica. Es importante señalar que esta “preferencia por lo específico” no es en sí misma una vulnerabilidad; es fundamental para el funcionamiento de las redes. Puede provocar un comportamiento no deseado, a menos que se hayan establecido mitigaciones específicas para evitarlo. ExpressVPN reconoce desde hace tiempo el riesgo de un problema de este tipo (ya sea por un atacante malintencionado o simplemente por un error real de configuración), y por eso enviamos nuestras aplicaciones con Network Lock activado de manera predeterminada.
En su artículo sobre TunnelVision, los investigadores afirman que es posible inducir una filtración del tráfico VPN cuando se utiliza algo llamado rutas estáticas sin clase de DHCP Opción 121, y que esto afecta a todos los proveedores de VPN y protocolos VPN que admiten dichas rutas.
En pocas palabras, significa que en determinadas condiciones (y sólo cuando se conecta a una red que no controla, como el Wi-Fi de un hotel o de un aeropuerto), un atacante con control del router Wi-Fi podría designar que cualquier tráfico con destino a un destino concreto se desvíe fuera de la VPN.
Se necesita que se cumpla una secuencia específica de condiciones para que alguien se vea afectado por este problema, y los clientes de ExpressVPN se encuentran entre los mejor protegidos, en parte debido a la solidez y estructura de Network Lock.
El impacto de TunnelVision en ExpressVPN
El potencial de esta técnica depende del sistema operativo o dispositivo que se utilice.
Empezando por los usuarios de computadoras de escritorio: gracias a Network Lock, el interruptor de seguridad de ExpressVPN en Mac, Windows, Linux y routers, el potencial de exposición es limitado. Tanto si utiliza Mac como Windows, nuestras investigaciones descubrieron que esta técnica sólo podía suponer una amenaza si nuestro interruptor de seguridad, Network Lock, había sido desactivado manualmente por un usuario. Como Network Lock está activado de manera predeterminada, los usuarios que nunca hayan modificado su configuración no pueden verse afectados.
Así que si usted, como muchos usuarios de ExpressVPN, simplemente abre su aplicación, pulsa el gran botón de “Encendido” y ocasionalmente cambia de ubicación, entonces nunca ha estado expuesto a este problema. La forma en que diseñamos nuestro interruptor de seguridad garantiza que nuestros usuarios de escritorio estén defendidos contra esta técnica y otros ataques que intentan forzar al tráfico a salir de la VPN.
Cuando el Network Lock está activado, comprobamos que no se producen fugas. El tráfico que se dirigía al destino designado por un atacante provocaba una “denegación de servicio”: simplemente se bloqueaba y aparecía una página web en blanco o un mensaje de error. El tráfico que se dirigiera a cualquier otro destino (en otras palabras, a cualquier lugar no especificado para el desvío por el atacante) pasaría a través de la VPN con normalidad. Sin embargo, si un usuario ha desactivado manualmente el Network Lock, entonces sí se permitiría que el tráfico pasara por la ruta desviada, provocando una fuga.
Por ello, recomendamos encarecidamente que todos los usuarios de ExpressVPN activen el interruptor de seguridad en todo momento. También estamos añadiendo nuevos recordatorios en nuestras aplicaciones para animar a los usuarios a mantener el interruptor de seguridad activado.
En los routers Aircove y Aircove Go, usted nunca queda vulnerable, porque el interruptor de seguridad está siempre activado y no puede desactivarse.
Ahora, para los usuarios de dispositivos móviles: En Android, no puede haber estado expuesto, independientemente de la configuración del interruptor de seguridad, porque la opción 121 de DHCP no es compatible en absoluto en esa plataforma. Pero en iOS, existe cierto grado de vulnerabilidad, incluso con nuestro interruptor de seguridad activado. Esto se debe a una limitación establecida desde hace tiempo por la propia Apple, que efectivamente hace imposible tener un interruptor de seguridad “a prueba de todo”. Aun así, utilizar una conexión celular 4G o 5G en lugar de Wi-Fi es totalmente eficaz para evitar este ataque.
Cómo construimos y diseñamos Network Lock para proteger a los usuarios
Como ya hemos explicado, Network Lock es el interruptor de seguridad de ExpressVPN para Mac, Windows, Linux y routers. Mantiene a salvo los datos de los usuarios bloqueando todo el tráfico de Internet hasta que se restablece la protección. Una función similar está disponible en la configuración de “Protección de red” de nuestras aplicaciones para iOS y Android. Ofrecemos estas funciones porque un interruptor de seguridad fiable es una característica esencial de una VPN, clave para proteger a los usuarios y garantizar su privacidad. Por eso también activamos nuestro interruptor de seguridad de manera predeterminada y hemos invertido mucho tiempo en su fiabilidad desde que lo lanzamos por primera vez en 2015.
También tomamos unas decisiones de ingeniería y diseño muy cuidadosas para implementar la función. Nuestra función de Network Lock evita que todo tipo de tráfico, incluido IPv4, IPv6 y DNS, se filtre fuera de la VPN, como cuando se interrumpe la conexión a Internet del usuario, al alternar entre redes Wi-Fi y otros escenarios diversos en los que otras VPN podrían filtrarse.
Nuestra funcionalidad de interruptor de seguridad en el firmware del router y en todas las plataformas de escritorio funciona aplicando una regla de cortafuegos de “bloquear todo” seguida de una regla que permite el tráfico exclusivamente a través del túnel VPN. Estas reglas de interruptor de seguridad se activan por primera vez cuando la VPN se conecta, y permanecen activas durante los ciclos de reconexión y las desconexiones inesperadas. Esto es exactamente a lo que se refieren los investigadores en la sección “Impacto en la industria” de su informe cuando afirman que “han observado una mitigación por parte de algunos proveedores de VPN que interrumpen el tráfico a interfaces no VPN mediante reglas de cortafuegos”.
Esta configuración protege contra el exploit TunnelVision y amenazas similares. Bloquea cualquier tráfico que intente eludir la VPN, incluidas las rutas que TunnelVision pueda haber introducido.
Qué significa esto para el sector de las VPN
Fundamentalmente, la investigación de TunnelVision pone de relieve lo importante que es que las VPN cumplan un estándar de excelencia en lo que se refiere al diseño de la privacidad y la seguridad.
Dado que no existe una única implementación industrial estándar de un interruptor de seguridad, entonces los detalles son la clave. Es más importante que nunca elegir un proveedor de VPN de primera calidad que priorice tanto la seguridad como la facilidad de uso. Agradecemos los esfuerzos de los investigadores por destacar la importancia de un interruptor de seguridad fiable cuando los consumidores están seleccionando una VPN.
También les agradecemos sus esfuerzos, que benefician a todo el sector, por divulgar este asunto de forma responsable. La investigación continuada sobre seguridad, llevada a cabo de forma responsable, es una faceta importante de un panorama de ciberseguridad saludable. Queremos animar a nuestros usuarios, socios de la industria e investigadores a que sigan impulsando una comprensión más profunda de las tecnologías subyacentes a las soluciones de privacidad y seguridad.
Proteja su privacidad con el mejor VPN
Garantía de devolución a 30 días