Las aplicaciones VPN de iOS no sirven

Rubén Castro, 19 agosto 2022

Al parecer, Apple ha incluido un parche en iOS 14 que los usuarios pueden elegir utilizar, pero aún quedan dudas.

Un investigador de seguridad ha expresado su creencia de que Apple ha sido consciente de una vulnerabilidad que afecta a las aplicaciones VPN de iOS durante más de dos años y medio.

Esto da credibilidad a una revelación anterior realizada por ProtonVPN, que afirmaba que una vulnerabilidad de la VPN ha estado presente en los dispositivos iOS desde que se lanzó la versión 13.3.1 de iOS, y que no hay ninguna solución que garantice al cien por cien el enrutamiento de tus datos a través de la VPN.

Las verdaderas observaciones de Michael Horowitz son más directas. Según lo que escribió, las VPN en iOS son una estafa.

Uso de las VPN

Tu proveedor de servicios de Internet (ISP) o tu operador de datos móviles reciben tus datos cada vez que te conectas a un sitio web o a un servidor. Los envían a un servidor situado a distancia. Su proveedor de servicios de Internet puede saber quién es usted y a qué sitios web accede.

Cuando te conectas a un punto de acceso Wi-Fi público, te expones al riesgo de un ataque man-in-the-middle (MITM). Un actor malicioso crea un falso punto de acceso Wi-Fi que dirige todo el tráfico a través de su propio sistema, capturando todos sus datos en el proceso. Es tan sencillo como enchufar un dispositivo del tamaño de un ladrillo eléctrico en una toma de corriente de una cafetería.

Las redes privadas virtuales, o VPN, envían datos cifrados a servidores seguros. Los proveedores de servicios de Internet, las empresas de telefonía y los operadores de puntos de acceso no pueden acceder a los datos almacenados. Sólo es visible el hecho de que está utilizando una VPN. El túnel desde su dispositivo hasta el servidor es lo que ocurre cuando utiliza una red privada virtual, o VPN.

Su dirección de protocolo de Internet, su ubicación exacta y cualquier otro dato de identificación se ocultan a los servidores y sitios web a los que se conecta. En su lugar, parece que se originan en el servidor asociado a la VPN.

Aplicaciones VPN para iOS defectuosas

Cuando inicias un programa de red privada virtual (VPN), debería cerrar cualquier conexión de datos que no esté cifrada y volver a abrirla una vez que estés dentro del “túnel” cifrado. Esta función está disponible en todas las VPN.

iOS no permite que las aplicaciones VPN cierren las conexiones no seguras, argumenta Horowitz.

Las VPN de iOS fallan, solo son eficaces al principio. Los dispositivos iOS obtienen automáticamente direcciones IP y DNS recién generadas. Un análisis en profundidad de los datos recogidos de los dispositivos iOS a lo largo del tiempo sugiere que hay una brecha en la conexión VPN. Los datos de iOS se escapan del túnel VPN.

No se trata de una brecha de DNS, sino de una fuga de datos. Utilicé VPNs de una variedad de proveedores de servicios para verificar esto. Hice algunas pruebas en iOS 15.6.

Dado que las conexiones inseguras existentes pueden permanecer activas durante un tiempo considerable, incluso si enciendes tu VPN para completar una tarea sensible, los pasos iniciales que das podrían no estar cifrados.

Es posible que los avisos push de Apple estén activos durante horas, en lugar de minutos.

En marzo de 2020, ProtonVPN fue quien destapó este hecho.

Un usuario de Proton se dio cuenta de que iOS 13.3.1 no termina las conexiones previamente establecidas. (El problema todavía se puede encontrar en la 13.4) La mayoría de las conexiones que son sólo temporales se reconectan automáticamente al pasar por el túnel VPN. Algunos puertos permanecen disponibles desde unos minutos hasta varias horas fuera del túnel VPN.

Como el iOS de Apple no permite que los programas VPN interrumpan las conexiones de red activas, Proton VPN y otros servicios similares no pueden ayudar.

A finales de ese año, la empresa anunció que Apple aún no había solucionado el problema, pero que estaba proporcionando a los desarrolladores de aplicaciones una función manual de “interruptor de apagado” que cerraría todas las conexiones de datos cuando se solicitara. Esto fue algo que la firma se comprometió a hacer, pero dejaron de hacerlo en octubre de 2020.

El extenso post escrito por Horowitz muestra cómo fue capaz de determinar que el problema era causado por iOS utilizando una variedad de dispositivos y soluciones VPN. Añade que Apple intentó primero ponerse en contacto con él, pero que después dejó de hacerlo.

Apple no ha dado ninguna respuesta en las últimas cinco semanas. No han revelado si han intentado o no reproducir el escenario y tampoco han dicho si se trata de un error o no.

Si hubieran hecho un esfuerzo, dado lo sencillo y fiable que es, deberían haber sido capaces de reproducirlo. Quizás esperan que lo abandone como hice con ProtonVPN, no sé.

¿Existe alguna otra opción?

Aunque se recomienda activar y desactivar el Modo Avión, Proton no puede garantizar que esto funcione. Horowitz lo evaluó en la plataforma iOS 12.5.5, pero no en la plataforma iOS 15.

Reiniciar el teléfono es algo que anticiparía que funcionaría, pero Horowitz no lo ha probado aún.