Botnets y backdoors: Los troyanos de las VPN gratuitas

Sabes poco de Internet, y aún menos de delincuencia y de repente, una montaña de investigación forense digital y ciberseguridad se te viene encima. La policía confisca tus dispositivos y rebusca en cada centímetro de tu vida digital. Y las autoridades te dicen finalmente que tu ordenador y tu dirección IP son responsables de un fraude de cinco dígitos. O tal vez digan que has hecho algo aún más incomprensible. Sea como fuere, te toca navegar por un infierno legal para intentar limpiar tu nombre de un delito que probablemente ni siquiera comprendas. Esta pesadilla es demasiado real para muchos usuarios de Internet.

Una botnet masiva que comprometía millones de dispositivos utilizaba VPNs gratuitas para ocultar su actividad.

Hace apenas unas semanas, una operación internacional dirigida por el Departamento de Justicia de Estados Unidos (DoJ) acabó con una extensa botnet mundial llamada 911 S5. A lo largo de una década lo que el DoJ denomina “probablemente la mayor botnets del mundo” se había infiltrado en 19 millones de direcciones IP en casi 200 países. El acceso a los dispositivos comprometidos se vendía a los delincuentes para cometer ciberataques, robos, fraudes y ocultar actividades ilícitas tras las IP de usuarios desprevenidos.

Un punto clave de esta historia es que la botnet utilizaba backdoors diseñadas en seis programas gratuitos de redes privadas virtuales (VPN) que además de funcionar como VPN, también eran malware. Tras la detención del presunto botmaster, la Oficina Federal de Investigaciones (FBI) publicó un anuncio de servicio público (ASP) en el que advertía a los usuarios de que desinstalaran las VPN y escanearan sus sistemas en busca de los archivos de malware que abrían las puertas de sus sistemas a la explotación delictiva.

En las primeras entregas del Nym Dispatch, nos centraremos en los riesgos de utilizar servicios VPN “gratuitos”. Como investigaremos a lo largo de la serie, muchas VPN gratuitas pueden suponer amenazas reales para la privacidad y la seguridad del usuario, y casi siempre contienen prácticas invasivas como la publicidad dirigida. Esto es completamente opuesto a la razón principal por la que los usuarios recurren a una VPN: privacidad, seguridad y anonimato genuino en línea. La botnet 911 S5 debería ser una llamada de atención, pero el problema es mucho más profundo.

ProxyGate 2024: Un troyano multimillonario

Una botnet es una red de dispositivos comprometidos que pueden ser controlados a distancia por una entidad central. Una vez infiltrados, los dispositivos pueden utilizarse para realizar actividades maliciosas a espaldas de sus operadores, como ataques DDoS, distribución de spam, fraude o difusión de material de explotación, como pornografía infantil.

Con la red proxy residencial 911 S5 instalada y dotada de 150 servidores en todo el mundo, el botmaster vendía acceso a decenas de millones de direcciones IP a través de un mercado virtual. A continuación, los compradores utilizaban estas IP para llevar a cabo una amplia gama de actividades ilícitas, entre las que destacaba la estafa de miles de millones de dólares al programa de ayuda para pandemias del gobierno de Estados Unidos mediante falsas reclamaciones de solicitantes.

¿Cómo fue posible una operación de esta envergadura? Según la orden judicial del DoJ de 10 de mayo de 2024, el sospechoso instalaba accesos de backdoor en los dispositivos de los usuarios principalmente ofreciendo su propio “software VPN gratuito en línea” y ocultando “las propiedades maliciosas de aquellos usuarios que descargaron intencionadamente lo que creían que era un programa VPN legítimo”. El malware también se propagó a través de software de torrents y “servicios de pago por instalación” en los que se paga a los distribuidores digitales cada vez que un programa con malware se instala con éxito en el dispositivo de un usuario.

El mercado 911 S5 fue supuestamente desmantelado por los investigadores en 2022 antes de resurgir como “Cloudrouter” en 2023. Sin embargo, el malware continuó operando en los sistemas de los usuarios sin más intervención hasta que la “Operación Tunnel Rat” del FBI acabó con los dominios VPN y reveló públicamente los nombres de los programas VPN.

En el momento de su detención, el 24 de mayo de 2024, el presunto botmaster, según estimaciones del gobierno, había amasado por sí solo 99 millones de dólares en beneficios por la venta de acceso a IP. Se defraudó la asombrosa cantidad de 5.900 millones de dólares de los programas de ayuda del gobierno estadounidense para pandemias y desempleo. Y las pérdidas, el dolor y la confusión sufridos por millones de personas involuntarias en todo el mundo aún no se pueden cuantificar.

La backdoor de las VPN gratuitas

Se afirma que seis servicios VPN y proxy son responsables de proporcionar backdoors para infecciones de malware en la botnet 911 S5:

• MaskVPN
• DewVPN
• PaladinVPN
• ProxyGate
• ShieldVPN
• ShineVPN

¿Qué sabemos exactamente de ellos? Como era de esperar, sorprendentemente poco. La acusación deja claro que estos servicios VPN fueron diseñados específicamente para construir la botnet. El malware permanecía activo en segundo plano en los sistemas de los usuarios como archivos de operación .exe aparentemente inocuos, como “MaskVPN.exe”, que los usuarios probablemente asumen que les protegían. En todo caso, la falta de información sobre estas VPN descargadas por millones de usuarios es un signo revelador de lo poco regulado y escudriñado que está el sector de las VPN gratuitas.

Los servicios VPN anteriores que mantenían dominios reales han sido incautados por el FBI, incluidos PaladinVPN.com, DewVPN.com y ShineVPN.com. El dominio ficticio de MaskVPN sigue activo como maskvpns.com, prometiendo que ustedes los afortunados usuarios pueden “proteger su privacidad de forma segura y a prueba de filtraciones [sic].”

Captura de pantalla de la página de inicio de paladinvpn.com el 10 de junio de 2024.

En el momento de la publicación, muchas aplicaciones que llevan los nombres de los servicios mencionados siguen estando disponibles para su descarga en Google Play, Apple y otras tiendas de aplicaciones, como ShieldVPN, ShineVPN y MaskVPN, y algunas como Shine VPN cuentan con más de 500.000 descargas en Google Play. Sin embargo, Nym no ha confirmado si estas aplicaciones corresponden en realidad a las que figuran en la orden judicial o más bien a otros proveedores homónimos. El servidor proxy ProxyGate, que durante mucho tiempo ha sido señalado por su actividad maliciosa por parte de empresas y foros de seguridad, también parece seguir siendo descargable como ProxyGate VPN, aunque no está claro si esta aplicación se corresponde con la botnet 911 S5.

Tendremos que esperar a conocer más detalles sobre el funcionamiento de estos servicios VPN concretos, qué plataformas los distribuyeron y cuántos usuarios los descargaron exactamente a lo largo de los años. Pero hay preguntas cruciales que deberíamos hacernos mientras tanto:

• ¿Cómo han podido pasar desapercibidas las funciones de malware de estas VPN durante tantos años?
• ¿A qué otras funciones clandestinas se dedican actualmente otras VPN gratuitas del mercado?
• ¿Cuántas violaciones de la privacidad y riesgos de seguridad estamos dispuestos a aceptar para ahorrarnos unos dólares cada mes cuando podríamos estar invirtiendo en una auténtica herramienta de privacidad?

Riesgos de las VPNs gratuitas

Se calcula que más de una quinta parte de la población mundial utiliza VPN, y que la mitad utiliza una versión gratuita en lugar de una de pago. ¿Qué significa esto para la privacidad de 600 millones de usuarios de VPN en todo el mundo?

En principio, un servicio “gratuito” no tiene nada de malo y de hecho hay proveedores de servicios VPN fiables que ofrecen VPN que preservan la privacidad sin coste alguno y como un bien público. Pero los modelos de negocio predominantes para los cientos de VPN gratuitas disponibles para su descarga son cualquier cosa menos altruistas: si no hay ingresos procedentes de las suscripciones de los usuarios, seguro que ganan dinero de otras maneras.

Como veremos en la serie en curso de Nym, estos ingresos ocultos proceden de varias tácticas: publicidad dirigida e insertada, venta de datos de los usuarios a intermediarios e incluso permitir a terceros instalar cookies en los navegadores de los usuarios para rastrear sus actividades. En resumen, las VPN gratuitas comercializan la privacidad, pero se benefician de la vigilancia. Y el objetivo de esta vigilancia no son las fechorías, sino los microdetalles de nuestra vida personal.

Las VPN gratuitas detrás de la botnet 911 S3, sin embargo, muestran un riesgo de seguridad mucho más extremo: el secuestro de nuestros dispositivos e identidades por parte de un submundo criminal. Por supuesto, estos servicios VPN maliciosos eran solo algunos de los cientos de VPN “gratuitas” disponibles para que los usuarios las descarguen, y probablemente sean algunos de los peores actores del mercado. Pero el potencial de riesgo puesto de manifiesto en este caso, con pérdidas financieras de miles de millones de dólares para usuarios e instituciones, debe tomarse en serio.

Nada es gratis

Prácticamente todas las VPN se promocionan a sí mismas como una herramienta para proteger la privacidad del usuario en virtud del hecho de que enmascaran nuestras verdaderas direcciones IP. Muchos usuarios pueden pensar que esto es suficiente para sus necesidades. Pero también es posible que no sean conscientes de hasta qué punto se están recopilando, comprando y vendiendo masivamente los metadatos de sus actividades personales en línea. ¿De qué sirve ocultar la dirección IP cuando los algoritmos de inteligencia artificial pueden reconstruir todo nuestro historial de navegación?

Combatir estas prácticas de recopilación y explotación de datos no es sencillo, y es razonable que una tecnología VPN avanzada diseñada específicamente para proteger su privacidad requiera cierto grado de inversión por parte del usuario. Al fin y al cabo, si alguien se ofreciera a instalar un sistema gratuito de cámaras de seguridad en su casa, ¿recibiría a los técnicos sin pensárselo dos veces?

Cuando cualquier software se ofrece de forma gratuita, es probable que haya costes ocultos. Estos costes pueden ser tan simples como un servicio VPN más lento o limitado. Pero normalmente los costes no son tan apetecibles, como la publicidad inyectada en tu experiencia de navegación que se personaliza a través de un análisis algorítmico de todos tus hábitos online. Peor aún es el hecho de que estos mismos registros de metadatos se venden regularmente a un vasto mercado clandestino ávido de direcciones IP y de correo electrónico, registros de tráfico y patrones de comportamiento individuales. Y ahora, existe la posibilidad real de que una VPN gratuita haya convertido tu ordenador en un proxy zombi para pornógrafos infantiles o estafadores.

La auténtica privacidad en línea debería ser un derecho fundamental, pero la realidad es que es una batalla continua. Ganarla para todos a nivel mundial significa, en primer lugar, estar alerta ante amenazas reales como el 911 S5, y también elegir las herramientas adecuadas para defendernos. Las VPN gratuitas no son esas herramientas.

¡Aprende más sobre las amenazas actuales a la privacidad siguiendo los despachos de Nym!

Nym Dispatch

Este es el primer artículo de la serie Nym Dispatch, que profundiza en el ecosistema de la privacidad online y social. Sintonízanos para saber más sobre los riesgos y las tácticas para ganar dinero de la economía de la vigilancia en línea, empezando por el mercado de las VPN gratuitas. La serie cubrirá las prácticas de registro de las VPN gratuitas; sus contratos de consentimiento deliberadamente vagos; cómo, por qué y a quién venden nuestros datos; y sus prácticas publicitarias invasivas.

Únete a la Comunidad Nym

Discord // Telegram // Element // Twitter

La privacidad ama la compañía

English // 中文 // Русский // Türkçe // Tiếng Việt // 日本 // Française // Español // Português // 한국인