Su VPN gratuita en Android suele ofrecer menos protección de lo que podría pensar

Se supone que una VPN desvía su tráfico de datos a través de un túnel cifrado, de modo que ni su proveedor de servicios de Internet ni nadie que esté interceptando la red Wi-Fi pueda ver lo que está haciendo. El problema es que, a partir de ese momento, la propia aplicación de la VPN puede verlo todo. Simplemente está trasladando su confianza de su proveedor de servicios de Internet a la empresa que ha desarrollado la aplicación. Un nuevo estudio revela que muchos proveedores gratuitos no merecen esa confianza.
Investigadores de la Universidad de Míchigan, la Universidad de Nuevo México y el IIT de Delhi analizaron 281 aplicaciones VPN gratuitas de Google Play Store en 14 dispositivos Android. Presentaron los resultados utilizando su marco de pruebas, MVPNalyzer, en la conferencia de seguridad NDSS; la Universidad de Míchigan publicó el estudio en julio. Las aplicaciones analizadas que presentaban al menos un problema suman, en conjunto, más de 2.400 millones de instalaciones.
Cinco aplicaciones pueden ser secuestradas a través de Wi-Fi
El hallazgo más peligroso se refiere a cinco aplicaciones que cargan su archivo de configuración sin cifrar. Este archivo especifica a qué servidor se conecta la aplicación. Si se transmite por la red en texto sin cifrar, un atacante que se encuentre en la misma red Wi-Fi —como, por ejemplo, el operador de un punto de acceso público— puede alterarlo durante el trayecto y redirigir la conexión a su propio servidor. El usuario ve la conocida pantalla «Conectado», pero todo el tráfico sigue enrutándose a través del atacante. Los investigadores replicaron y confirmaron este ataque en sus propios dispositivos. De los cinco proveedores señalados, dos respondieron y se comprometieron a pasar a HTTPS; tres no respondieron.
Fugas y rastreadores, a pesar de las promesas en sentido contrario
29 aplicaciones permitieron que el tráfico de datos se filtrara fuera del túnel. 24 de ellas expusieron consultas DNS, revelando así los sitios web visitados a la red local; solo estas aplicaciones suman alrededor de 360 millones de instalaciones. Seis filtraron todo el tráfico, y cuatro operaban túneles sin ningún tipo de cifrado.
El rastreo resulta especialmente preocupante, ya que muchas personas instalan una VPN precisamente para evitarlo. 76 aplicaciones transmitieron el identificador publicitario del dispositivo, que los anunciantes utilizan para rastrear a una persona a través de diferentes aplicaciones. Más del 80 %, concretamente 246 aplicaciones, se conectaron a servidores conocidos de publicidad y seguimiento y enviaron datos como el modelo, la versión del sistema operativo y el tamaño de la pantalla. Aunque por separado son inofensivos, en conjunto forman una huella digital que identifica de forma única a un dispositivo. Una aplicación llegó incluso a enviar las coordenadas GPS exactas. El caso de PromptSnatcher ha demostrado recientemente lo fácil que es que un software camuflado espíe en secreto.
Cifrado obsoleto bajo el capó
Los investigadores también analizaron los archivos de configuración de OpenVPN de 108 aplicaciones. Solo una cumplía todos los requisitos de seguridad sometidos a prueba. Alrededor del 89 % se basaba en un único método de autenticación, en lugar de combinar una contraseña y un certificado. Casi una de cada cinco utilizaba un cifrado débil u obsoleto, incluidos los antiguos algoritmos Blowfish y Triple DES, de los que se sabe que presentan vulnerabilidades. Algunas desactivaban por completo el cifrado dentro del túnel. El denominador común es sencillo: las aplicaciones reciben escaso mantenimiento, y los controles automatizados de Play Store permiten que se les pase por alto. Según el estudio, la insignia «Verificado» de las aplicaciones VPN sirve más como estrategia de marketing que como una auténtica garantía de seguridad.
No es un caso aislado
Otras investigaciones apuntan en la misma dirección. En agosto de 2025, Citizen Lab y la Universidad Estatal de Arizona descubrieron varias aplicaciones VPN populares para Android —con un total combinado de más de 700 millones de descargas— que estaban conectadas entre sí de forma secreta, compartían contraseñas codificadas de forma fija y recopilaban datos de ubicación. En octubre de 2025, la empresa de seguridad Zimperium informó de que tres de las aproximadamente 800 VPN gratuitas analizadas seguían ejecutando una versión de OpenSSL vulnerable a Heartbleed, una vulnerabilidad que ya se había corregido en 2014.
Lo que puede hacer usted mismo
Los fallos más graves —una configuración sin cifrar y unos ajustes de túnel deficientes— no son visibles desde el exterior. Ese es precisamente el problema. Por lo tanto, la mejor defensa no es el protocolo anunciado, sino más bien la cuestión de quién está detrás de la aplicación. Dé preferencia a los proveedores que publiquen una auditoría de seguridad reciente e independiente. Desconfíe de las aplicaciones gratuitas que le bombardean con anuncios. Y considere afirmaciones como «verificado» o «sin registros» como un punto de partida, no como una prueba. Si busca la lista completa de aplicaciones que suscitan preocupación, la encontrará en el apéndice del estudio.
Top 10 Análisis
» Top 10 Portátiles Multimedia
» Top 10 Portátiles de Juego
» Top 10 Portátiles de Juego ligeros
» Top 10 Portátiles Asequibles de Oficina/Empresa
» Top 10 Portátiles de Juego Ligeros
» Top 10 Portátiles de Oficina/Empresa Premium
» Top 10 Estaciones de Trabajo
» Top 10 Subportátiles
» Top 10 Ultrabooks
» Top 10 Convertibles
» Top 10 Tablets
» Top 10 Tablets Windows
» Top 10 Tablets de menos de 250 Euros
» Top 10 Phablets (>5.5")
» Top 10 Smartphones
» Top 10 Smartphones (≤5")
» Top 10 Smartphones de menos de 300 Euros
» Top 10 Smartphones de menos de 120 Euros
» Top 10 Portátiles de menos de 1000 Euros
» Top 10 Portátiles de menos de 500 Euros
» Top 10 Portátiles de menos de 300 Euros
» Los Mejores Displays de Portátiles Analizados por Notebookcheck






