Se ha detectado una vulnerabilidad crítica en un software de VPN que permite el acceso remoto sin necesidad de contraseña. El fallo expone datos personales y laborales de millones de usuarios, pero la compañía afectada no ha sido nombrada para proteger a sus inversores. La noticia, que ya circula en foros de seguridad, llega tarde: el agujero lleva meses activo.
El código abierto sin auditoría, el caldo de cultivo perfecto 🔓
La puerta trasera encontrada reside en la implementación de un protocolo de autenticación. El fabricante conocía el fallo desde hace meses pero se negó a pagar un bug bounty, dejando el parche en el limbo. Muchas empresas usan versiones gratuitas o de código abierto sin auditorías de seguridad, confiando en que el software funcione como un escudo mágico. La realidad es que estos servicios suelen priorizar el coste sobre la integridad del código, y el resultado es este: una brecha que permite a cualquier atacante saltarse el login.
El pánico digital: Netflix no se ve solo, se ve sin contraseña ajena 📺
La mayoría de usuarios de VPN no busca seguridad, sino saltarse bloqueos geográficos para ver series. Y mientras se rasgan las vestiduras por esta vulnerabilidad, conviene recordar que el verdadero negocio de muchas VPN gratuitas es vender tu tráfico de navegación. Un atacante no necesita explotar este fallo: puede comprar directamente tus registros de navegación al proveedor que ya los recopila. La seguridad en Internet es un espejismo, y noticias como esta solo sirven para que compres una VPN más cara.