ExpressVPN lanzó el martes un conjunto de herramientas de código abierto que permiten a los usuarios probar vulnerabilidades que pueden comprometer la privacidad y la seguridad en redes privadas virtuales.
Lanzado bajo una licencia de MIT de código abierto, son las primeras herramientas públicas que permiten realizar pruebas automáticas de fugas en VPN, dijo la compañía. Las herramientas están escritas principalmente en Python y están disponibles para su descarga en Github .
Originalmente utilizado para realizar pruebas de regresión automatizadas en el propio software de ExpressVPN, las herramientas permiten a los usuarios verificar las VPN que podrían no proporcionar una protección completa a los usuarios, dijo Harold Li, vicepresidente de ExpressVPN.
“Creemos que la industria de VPN en su conjunto tiene el deber de proteger adecuadamente a los usuarios que confían en nuestros productos”, dijo a LinuxInsider. “Estamos creando estas herramientas de forma abierta como parte de una iniciativa para alentar a toda la industria de VPN a unirse a nosotros para invertir e identificar y abordar las filtraciones”.
Completamente impermeable
Un tercio de los participantes en un estudio de noviembre, Propeller Insights llevado a cabo para ExpressVPN, citó la ciberseguridad como una razón para usar una VPN, particularmente para proteger contra la cibernética por conexiones WiFi. Alrededor del 25 por ciento citó el uso de VPN para asegurarse de que su ISP no viera su actividad cibernética, mientras que el 15 por ciento dijo que usaban VPN para protegerse contra la vigilancia gubernamental.
Las herramientas de prueba de VPN pueden detectar una amplia gama de posibles fugas, dijo la compañía, incluida la exposición de una dirección IP durante una fuga de WebRTC. Además, la actividad web de los usuarios puede exponerse cuando cambian de una conexión inalámbrica a una conexión por cable. Los datos no encriptados pueden filtrarse cuando el software VPN falla o no puede llegar a su servidor.
ExpressVPN afirma ser una de las redes privadas virtuales de consumidores más grandes del mundo, proporcionando una de las plataformas más grandes para una variedad de sistemas operativos, incluidos Windows, iOS, Android, Linux y otros.
La compañía ofrece extensiones para una variedad de navegadores, incluidos Chrome, Firefox y Safari. Admite configuraciones VPN para una variedad de consolas de juegos, incluyendo Xbox y PlayStation, así como plataformas de transmisión de video como Fire TV de Amazon, Apple TV y otros.
Confiar pero verificar
Las VPN les permiten a los usuarios usar redes privadas en lugar de redes públicas que no son de confianza, pero aún pueden dejarlas vulnerables en ciertas situaciones, dijo Andrew Howard, director de tecnología de Kudelski Security .
“No pueden proteger los datos una vez que salen de la VPN, y los administradores no deben asumir que una conexión VPN a su red es segura, incluso si está debidamente autenticada”, dijo a LinuxInsider.
Existen oportunidades para la pérdida de datos cuando se configuran o destruyen las VPN, y las filtraciones pueden ocurrir durante caídas de la conexión o fallas de software, dijo Howard.
Las VPN pueden ayudar a mitigar la probabilidad de ataques exitosos aprovechando cualquier vulnerabilidad de Wifi, incluidos los ataques de hombre en el medio, dijo Leigh Ann Galloway, líder de resistencia a la ciberseguridad en Positive Technologies .
“La tecnología VPN está bastante bien pensada desde el punto de vista de la seguridad de la información, pero las implementaciones específicas pueden tener fallas, al igual que cualquier otro software”, dijo a LinuxInsider.
Se han encontrado vulnerabilidades en implementaciones como OpenVPN, señaló Galloway.
En términos de transferencia de datos, puede haber filtraciones durante la implementación, agregó. Las fugas también pueden ser atribuibles a ciertas configuraciones de software o algoritmos de cifrado aplicados, dependiendo de la estabilidad, la longitud de las claves y los métodos de generación de claves.