Una VPN (Virtual Private Network o Red Privada Virtual) es una tecnología que permite a los usuarios conectarse de manera segura a una red pública. Y aunque su eficiencia y accesibilidad las han vuelto populares, un peligroso exploit llamado TunnelVision, ha sido capaz de superar la seguridad de este tipo de conexiones.

Recordemos que un exploit es un fragmento de datos o una secuencia de comandos que aprovecha una falla en el software para causar comportamientos no previstos en el sistema informático, usualmente con el fin de obtener acceso no autorizado o provocar daños.

En este caso, la vulnerabilidad identificada como CVE-2024-3661, afecta a sistemas operativos como Windows, macOS, Linux e iOS, al permitir a los ciberatacantes desviar el tráfico fuera de las conexiones VPN cifradas. Mientras que Android se quedo fuera por no disponer de la opción ‘121′ que facilita esta brecha de seguridad.

Un exploit es una pieza de software, un fragmento de datos o una secuencia de comandos que aprovecha una vulnerabilidad o falla en el software para causar comportamientos no previstos en el sistema informático, usualmente con el fin de obtener acceso no autorizado o provocar daños. (REUTERS/Kacper Pempel)

La firma de ciberseguridad Leviathan Security fue la que detectó y expuso este problema, el cual, según sus informes, manipula la opción ‘121′ del protocolo DHCP empleada por los routers para asignar direcciones IP dinámicas en una red local. Al crear un servidor DHCP fraudulento, los atacantes son capaces de redirigir el tráfico VPN a su antojo, lo que significa que, incluso estando conectados a una VPN, los datos de tráfico de los usuarios podría ser interceptado y espiado.

“Este problema se presenta solamente cuando la red es controlada por el atacante, es decir, que la víctima esté conectada a la misma red local que el atacante”, explican desde Leviathan Security. Esta situación se vuelve especialmente crítica en redes públicas como las de aeropuertos, cafeterías, entre otros.

El núcleo de este problema radica en una técnica que manipula la opción ‘121’ del protocolo DHCP empleada por los routers para asignar direcciones IP dinámicas en una red local. (EFE/Oliver Berg)

Ante la revelación de esta vulnerabilidad, Leviathan Security no solo alertó a numerosos proveedores de servicios VPN, sino también a organizaciones clave como CISA y EFF, con el fin de propiciar la búsqueda de soluciones y mitigar los riesgos asociados a este exploit.

La empresa de seguridad subrayó que el problema había sido detectado preliminarmente en 2015, pero cobró relevancia recientemente debido a la creciente popularización de las VPNs en el uso cotidiano por su promesa de anonimato y seguridad en la navegación.

Este problema se presenta solamente cuando la red es controlada por el atacante, es decir, que la víctima esté conectada a la misma red local que el atacante. (REUTERS/Steve Marcus)

En respuesta a la exposición de este riesgo, algunos proveedores de VPN ya han reaccionado ante la incidencia. ExpressVPN, junto con otros servicios como Windscribe y Mullvad, han señalado que el impacto de este exploit es mínimo en sus aplicaciones, aconsejando a los usuarios minimizar el uso de redes públicas aun cuando estén utilizando una VPN hasta que se encuentre una solución definitiva a esta vulnerabilidad.

Según se menciona desde medios especializados como Ars Technica, este exploit afectaría principalmente a aquellas VPNs utilizadas con fines de anonimato o para evitar restricciones geográficas, mientras que las utilizadas para conectar con máquinas remotas a través de LAN no deberían verse comprometidas.

La existencia de TunnelVision resalta la importancia de mantener una vigilancia constante sobre las tecnologías de seguridad en internet, debido a que incluso las herramientas diseñadas para proteger la privacidad y seguridad de los usuarios como las VPN pueden ser vulnerables ante técnicas de ciberataque sofisticadas.

Las VPNs son ampliamente utilizadas tanto por usuarios particulares como por organizaciones para acceder a recursos de red de manera segura, especialmente cuando se conectan desde redes no seguras como las Wi-Fi públicas. (Google)

Una VPN funciona estableciendo una conexión segura y privada entre el dispositivo del usuario y el internet a través de un servidor VPN. Este proceso implica varios pasos:

• Establecimiento de la conexión: Cuando el usuario activa el software de VPN en su dispositivo, el software establece una conexión cifrada con un servidor VPN. Esta conexión se conoce como un “túnel” VPN.
• Cifrado de datos: Una vez que el túnel está establecido, todos los datos enviados desde el dispositivo del usuario se cifran antes de ser transmitidos a internet. Este cifrado previene que terceros puedan interceptar y entender la información enviada o recibida.
• Cambio de IP: Al conectarse a un servidor VPN, el dispositivo del usuario adopta la dirección IP del servidor, ocultando así su dirección IP real. Esto permite al usuario aparecer como si estuviera ubicado en la misma región geográfica que el servidor VPN, facilitando el acceso a contenidos o servicios restringidos geográficamente.
• Desencriptación de datos: Los datos cifrados alcanzan el servidor VPN, donde son desencriptados y luego enviados a su destino final en internet. El proceso se invierte para los datos entrantes, que son recibidos por el servidor VPN, cifrados y enviados al dispositivo del usuario a través del túnel seguro, para ser finalmente desencriptados por el software de VPN en el dispositivo del usuario.
• Finalización de la sesión: Una vez que el usuario finaliza su sesión, la conexión VPN puede ser cerrada, lo que detiene el cifrado de datos y restablece la conexión a internet a su modo normal.