Página de inicio de Proton VPN

Android 16 puede exponer tu dirección IP

Lectura
3 min
Categoría
Aplicaciones

Se ha identificado(ventana nueva) una vulnerabilidad crítica en Android 16 que permite que cualquier aplicación instalada eluda el túnel VPN del dispositivo, incluidas aquellas configuradas con los ajustes de Kill Switch integrados en Android. Esto significa que las aplicaciones podrían filtrar tu dirección IP real a sus desarrolladores.

Este no es un problema de Proton VPN. Afecta a todas las aplicaciones VPN.

Dado que el error se encuentra en el sistema operativo base de Android, solo Google puede solucionarlo. Google está al tanto del problema, pero, desafortunadamente, no considera que sea lo suficientemente crítico como para publicar una corrección en el boletín de seguridad de Android(ventana nueva). Por el momento, han cerrado el problema con el estado (No se solucionará/Inviable), pero esperamos que su postura cambie.

Curiosamente, GrapheneOS(ventana nueva), la versión reforzada y libre de Google de Android que se puede instalar en dispositivos Pixel y futuros dispositivos Motorola, ya ha solucionado el problema de QUIC(ventana nueva). Esto demuestra que, de hecho, el problema se puede resolver y que la respuesta de Google es realmente insuficiente.

¿Cuál es el problema?

Cuando usas una VPN, todo tu tráfico de internet debería pasar a través de un túnel cifrado. Android incluso cuenta con un ajuste de “Kill Switch” integrado que supuestamente garantiza que nada pueda eludir este túnel.

El error se debe a la forma en que Android gestiona un tipo específico de conexión a internet llamado QUIC(ventana nueva), que utiliza un número cada vez mayor de aplicaciones y sitios web. Cuando una aplicación cierra una conexión QUIC, se supone que debe enviar un mensaje de cierre de sesión al servidor.

Pero en lugar de enviar este mensaje a través del túnel VPN, Android lo envía directamente a través de tu conexión a internet habitual (es decir, fuera del túnel VPN), lo que expone tu dirección IP real a quienquiera que esté en el extremo receptor. Cualquier aplicación que use conexiones QUIC puede provocar esto, incluidas aplicaciones conocidas y totalmente legítimas.

El riesgo práctico para tu privacidad es que los desarrolladores de aplicaciones pueden ver tu dirección IP real en lugar de la dirección IP del servidor VPN.

¿Qué puedes hacer al respecto?

La decisión de Google de no solucionar este problema ha desatado numerosas críticas(ventana nueva). Por ahora, el problema se puede mitigar de las siguientes maneras:

1. Usa ADB

Puedes solucionar el problema con la herramienta Android Debug Bridge(ventana nueva) (ADB). Esta solución se mantendrá después de reiniciar, pero podría deshacerse con las actualizaciones del sistema. Si esto ocurre, tendrás que repetir los pasos.

Sin embargo, el mayor problema para la mayoría es que no es una tarea sencilla y solo es apta para personas con sólidos conocimientos técnicos.

Una vez configurado el ADB, ejecuta:

adb shell device_config put tethering close_quic_connection -1
adb reboot

2. Sé selectivo con las aplicaciones que instalas

Debido a esta vulnerabilidad crítica, cualquier aplicación puede filtrar tu dirección IP real a sus desarrolladores. Por lo tanto, deberías intentar limitar las aplicaciones instaladas en tu dispositivo a aquellas cuyos desarrolladores te ofrezcan la confianza de que no abusarán de esta información.

Estamos supervisando la situación

Google está al tanto del problema y esperemos que responda a la presión para solucionarlo. Actualizaremos este artículo en cuanto haya una solución disponible.