Notebookcheck Logo

Su VPN gratuita en Android suele ofrecer menos protección de lo que podría pensar

Una mano sostiene un smartphone con la aplicación de VPN abierta
ⓘ Stefan Coders / Pexels
Muchas VPN gratuitas sufren fugas de datos o realizan un seguimiento de sus usuarios.
Un estudio ha analizado 281 aplicaciones VPN gratuitas de Google Play Store, que en conjunto suman más de 2.400 millones de instalaciones. Muchas de ellas filtran datos, realizan un seguimiento de sus usuarios o utilizan un cifrado obsoleto. Cinco de ellas pueden incluso ser secuestradas a través de una red Wi-Fi. A continuación le indicamos cómo identificar una aplicación fiable.

Se supone que una VPN desvía su tráfico de datos a través de un túnel cifrado, de modo que ni su proveedor de servicios de Internet ni nadie que esté interceptando la red Wi-Fi pueda ver lo que está haciendo. El problema es que, a partir de ese momento, la propia aplicación de la VPN puede verlo todo. Simplemente está trasladando su confianza de su proveedor de servicios de Internet a la empresa que ha desarrollado la aplicación. Un nuevo estudio revela que muchos proveedores gratuitos no merecen esa confianza.

Investigadores de la Universidad de Míchigan, la Universidad de Nuevo México y el IIT de Delhi analizaron 281 aplicaciones VPN gratuitas de Google Play Store en 14 dispositivos Android. Presentaron los resultados utilizando su marco de pruebas, MVPNalyzer, en la conferencia de seguridad NDSS; la Universidad de Míchigan publicó el estudio en julio. Las aplicaciones analizadas que presentaban al menos un problema suman, en conjunto, más de 2.400 millones de instalaciones.

Cinco aplicaciones pueden ser secuestradas a través de Wi-Fi

El hallazgo más peligroso se refiere a cinco aplicaciones que cargan su archivo de configuración sin cifrar. Este archivo especifica a qué servidor se conecta la aplicación. Si se transmite por la red en texto sin cifrar, un atacante que se encuentre en la misma red Wi-Fi —como, por ejemplo, el operador de un punto de acceso público— puede alterarlo durante el trayecto y redirigir la conexión a su propio servidor. El usuario ve la conocida pantalla «Conectado», pero todo el tráfico sigue enrutándose a través del atacante. Los investigadores replicaron y confirmaron este ataque en sus propios dispositivos. De los cinco proveedores señalados, dos respondieron y se comprometieron a pasar a HTTPS; tres no respondieron.

Fugas y rastreadores, a pesar de las promesas en sentido contrario

29 aplicaciones permitieron que el tráfico de datos se filtrara fuera del túnel. 24 de ellas expusieron consultas DNS, revelando así los sitios web visitados a la red local; solo estas aplicaciones suman alrededor de 360 millones de instalaciones. Seis filtraron todo el tráfico, y cuatro operaban túneles sin ningún tipo de cifrado.

El rastreo resulta especialmente preocupante, ya que muchas personas instalan una VPN precisamente para evitarlo. 76 aplicaciones transmitieron el identificador publicitario del dispositivo, que los anunciantes utilizan para rastrear a una persona a través de diferentes aplicaciones. Más del 80 %, concretamente 246 aplicaciones, se conectaron a servidores conocidos de publicidad y seguimiento y enviaron datos como el modelo, la versión del sistema operativo y el tamaño de la pantalla. Aunque por separado son inofensivos, en conjunto forman una huella digital que identifica de forma única a un dispositivo. Una aplicación llegó incluso a enviar las coordenadas GPS exactas. El caso de PromptSnatcher ha demostrado recientemente lo fácil que es que un software camuflado espíe en secreto.

Cifrado obsoleto bajo el capó

Los investigadores también analizaron los archivos de configuración de OpenVPN de 108 aplicaciones. Solo una cumplía todos los requisitos de seguridad sometidos a prueba. Alrededor del 89 % se basaba en un único método de autenticación, en lugar de combinar una contraseña y un certificado. Casi una de cada cinco utilizaba un cifrado débil u obsoleto, incluidos los antiguos algoritmos Blowfish y Triple DES, de los que se sabe que presentan vulnerabilidades. Algunas desactivaban por completo el cifrado dentro del túnel. El denominador común es sencillo: las aplicaciones reciben escaso mantenimiento, y los controles automatizados de Play Store permiten que se les pase por alto. Según el estudio, la insignia «Verificado» de las aplicaciones VPN sirve más como estrategia de marketing que como una auténtica garantía de seguridad.

No es un caso aislado

Otras investigaciones apuntan en la misma dirección. En agosto de 2025, Citizen Lab y la Universidad Estatal de Arizona descubrieron varias aplicaciones VPN populares para Android —con un total combinado de más de 700 millones de descargas— que estaban conectadas entre sí de forma secreta, compartían contraseñas codificadas de forma fija y recopilaban datos de ubicación. En octubre de 2025, la empresa de seguridad Zimperium informó de que tres de las aproximadamente 800 VPN gratuitas analizadas seguían ejecutando una versión de OpenSSL vulnerable a Heartbleed, una vulnerabilidad que ya se había corregido en 2014.

Lo que puede hacer usted mismo

Los fallos más graves —una configuración sin cifrar y unos ajustes de túnel deficientes— no son visibles desde el exterior. Ese es precisamente el problema. Por lo tanto, la mejor defensa no es el protocolo anunciado, sino más bien la cuestión de quién está detrás de la aplicación. Dé preferencia a los proveedores que publiquen una auditoría de seguridad reciente e independiente. Desconfíe de las aplicaciones gratuitas que le bombardean con anuncios. Y considere afirmaciones como «verificado» o «sin registros» como un punto de partida, no como una prueba. Si busca la lista completa de aplicaciones que suscitan preocupación, la encontrará en el apéndice del estudio.

Google LogoAdd as a preferred source on Google
Mail Logo
> Análisis y pruebas de ordenadores portátiles y móviles teléfonos > Noticias > Archivo de noticias > Archivo de noticias 2026 07 > Su VPN gratuita en Android suele ofrecer menos protección de lo que podría pensar
Steffen Zahn, 2026-07-12 (Update: 2026-07-12)