Para usar nuestras aplicaciones y configuraciones, primero regístrese y obtenga una cuenta de ExpressVPN.
Es posible que esté escuchando informes sobre una nueva vulnerabilidad, llamada TunnelVision, que podría permitir a un atacante eludir la protección de la VPN en ciertas circunstancias. Los investigadores se comunicaron con nosotros antes de la publicación del documento, y hemos tenido tiempo para realizar pruebas exhaustivas por nuestra cuenta.
Después de una evaluación exhaustiva, podemos confirmar que la técnica descrita en el documento tiene un impacto mínimo en los usuarios de ExpressVPN, gracias al diseño robusto de nuestro interruptor de seguridad, Network Lock.
En resumen:
- Android no se ve afectado en absoluto
- Aircove está completamente protegido ya que tiene Network Lock activado por defecto y no se puede desactivar
- Las aplicaciones de escritorio no se ven afectadas si Network Lock está activado
- iOS puede verse afectado, debido a limitaciones establecidas por Apple. Esto es consistente con las limitaciones históricas de seguridad del iPhone. Como señalaron los investigadores, usar 4G o 5G en lugar de Wi-Fi mitiga este problema.
Recomendamos encarecidamente que todos los usuarios de ExpressVPN habiliten el interruptor de seguridad en todo momento. También estamos añadiendo nuevos recordatorios en nuestras aplicaciones para animar a los usuarios a mantener el interruptor de seguridad activado.
Si está interesado en más información, puede encontrarla en nuestra entrada de blog sobre TunnelVision. También detallamos nuestra investigación y cómo se relaciona con las aplicaciones de ExpressVPN en cada plataforma que soportamos a continuación.
Sobre nuestra investigación
En su documento sobre TunnelVision, los investigadores afirman que es posible inducir una fuga de tráfico de VPN al usar algo llamado rutas estáticas sin clase de la opción 121 de DHCP, y que esto afecta a todos los proveedores de VPN y protocolos VPN que soportan tales rutas.
Para simplificar, esto significa que bajo ciertas condiciones (y solo cuando se conecta a una red que no controla, como el Wi-Fi de un hotel o aeropuerto), un atacante con control del router Wi-Fi podría designar que cualquier tráfico destinado a un destino particular se desvíe fuera de la VPN.
Se requiere una secuencia específica de condiciones para que alguien se vea afectado por este problema, y los clientes de ExpressVPN están entre los mejor protegidos, en parte debido a la fortaleza y estructura de Network Lock.
Cuando Network Lock está activado, encontramos que las fugas no ocurren. El tráfico destinado al destino designado por un atacante resultaría en una “denegación de servicio”—simplemente sería bloqueado, resultando en una página web en blanco o un mensaje de error. El tráfico que iba a cualquier otro destino (en otras palabras, cualquier parte no especificada para desvío por el atacante) pasaría a través de la VPN como de costumbre. Sin embargo, si un usuario ha desactivado manualmente Network Lock, entonces el tráfico sí sería permitido pasar por la ruta desviada, causando una fuga.
Por lo tanto, recomendamos encarecidamente que todos los usuarios de ExpressVPN habiliten el interruptor de seguridad en todo momento. También estamos añadiendo nuevos recordatorios en nuestras aplicaciones para animar a los usuarios a mantener el interruptor de seguridad activado.
Sobre nuestras plataformas
El potencial de esta técnica depende del sistema operativo o dispositivo que se use.
Comenzando con nuestros usuarios de escritorio: gracias a Network Lock, el interruptor de seguridad de ExpressVPN en Mac, Windows, Linux y routers, el potencial de exposición es limitado. Ya sea que use Mac o Windows, nuestras investigaciones encontraron que esta técnica solo podría representar una amenaza si nuestro interruptor de seguridad, Network Lock, ha sido desactivado manualmente por un usuario. Dado que Network Lock está activado por defecto, los usuarios que nunca han modificado sus configuraciones no pueden verse afectados.
Así que si usted, como muchos usuarios de ExpressVPN, simplemente abre su aplicación, presiona el gran botón de encendido y ocasionalmente cambia de ubicaciones, entonces nunca ha estado expuesto a este problema. La forma en que diseñamos nuestro interruptor de seguridad garantiza que nuestros usuarios de escritorio estén protegidos contra esta técnica y otros ataques que intentan forzar el tráfico fuera de la VPN.
En los routers Aircove y Aircove Go, no puede ser vulnerable ya que el interruptor de seguridad está siempre activado y no se puede desactivar. Usuarios móviles: En Android, no puede haber estado expuesto, ya que esta técnica no impacta en la aplicación Android de ExpressVPN en absoluto. Esto se debe a que la opción 121 de DHCP no está soportada en esa plataforma. En iOS, debido a limitaciones establecidas por Apple, no podemos garantizar eso. Como señalaron los investigadores, usar 4G o 5G en lugar de Wi-Fi mitiga este problema completamente.
Cómo construimos y diseñamos Network Lock para proteger a los usuarios
Como hemos explicado, Network Lock es el interruptor de seguridad de ExpressVPN en Mac, Windows, Linux y routers. Mantiene los datos del usuario seguros bloqueando todo el tráfico de internet hasta que se restablezca la protección. Una característica similar está disponible en la configuración de Protección de red de nuestras aplicaciones para iOS y Android. Ofrecemos estas funciones porque un interruptor de seguridad confiable es una característica esencial de una VPN, clave para proteger a los usuarios y garantizar su privacidad. Es por eso que también activamos nuestro interruptor de seguridad por defecto y hemos dedicado mucho tiempo a invertir en su fiabilidad desde que lo lanzamos por primera vez en 2015.
También tomamos muchas decisiones cuidadosas de ingeniería y diseño para implementar la función. Nuestra función Network Lock evita que todo tipo de tráfico, incluidos IPv4, IPv6 y DNS, se filtren fuera de la VPN, como cuando se interrumpe la conexión a internet del usuario, al cambiar entre redes Wi-Fi, y en varios otros escenarios en los que otras VPN podrían tener fugas.
Nuestra funcionalidad de interruptor de seguridad en el firmware del router y en todas las plataformas de escritorio funciona aplicando una regla de cortafuegos de “bloquear todo” seguida de una regla que permite el tráfico exclusivamente a través del túnel VPN. Estas reglas de interruptor de seguridad se activan primero cuando la VPN se conecta, y permanecen activas durante los ciclos de reconexión y desconexiones inesperadas. Esto es exactamente a lo que se refieren los investigadores en la sección “Impacto en la Industria” de su informe cuando afirman que “han observado una mitigación de algunos proveedores de VPN que elimina el tráfico a interfaces no VPN a través de reglas de cortafuegos”
Esta configuración protege contra la explotación de TunnelVision y amenazas similares. Bloquea cualquier tráfico que intente eludir la VPN, incluidas las rutas que TunnelVision pueda haber introducido.