Página de inicio de Proton VPN

TunnelVision y Proton VPN

Lectura
4 min
Categoría
Aplicaciones de Proton VPN

TunnelVision es una vulnerabilidad presente en todos los principales sistemas operativos que puede obligar a las aplicaciones de redes privadas virtuales (VPN) a enrutar el tráfico fuera del túnel VPN. Esto podría permitir que un atacante espíe tu historial de navegación o incluso inyecte código malicioso en tu tráfico de internet.

La vulnerabilidad fue descubierta por investigadores de seguridad que la anunciaron(ventana nueva) en mayo de 2024, y no se conocen casos de hackers que la hayan utilizado. Sin embargo, es posible que la vulnerabilidad haya existido desde 2002.

Proton VPN es ampliamente resistente a TunnelVision si usas Android, Windows o activas la función Kill Switch en dispositivos Apple. La excepción es nuestra aplicación para Linux, pero aún hay formas de mitigar el riesgo. Aunque es poco probable que la mayoría de las personas se enfrenten a este ataque, es importante conocer los riesgos y cómo mantenerte a salvo al usar Proton VPN.

¿Son vulnerables a TunnelVision las aplicaciones de Proton VPN?

Muchas VPN son vulnerables a TunnelVision porque el ataque se dirige a un protocolo de uso común.

Pero no es un ataque fácil de llevar a cabo: para explotar la vulnerabilidad TunnelVision, un atacante primero debe obtener el control de la red de área local (LAN) a la que está conectado tu dispositivo. Es decir, el enrutador al que te conectas a través de WiFi o cable ethernet debe estar comprometido (las conexiones móviles de datos no se ven afectadas por TunnelVision).

Esto significa que es muy poco probable que sea un problema para los dispositivos conectados a una red doméstica o de oficina. El verdadero peligro radica al conectarse a redes WiFi públicas, que podrían estar controladas por cualquiera.

Tras realizar pruebas exhaustivas en las aplicaciones de Proton VPN, podemos confirmar lo siguiente:

Android

Nuestra aplicación para Android no se ve afectada en absoluto por el problema, ya que no admite la opción 121 (ver más abajo). Android también es muy resistente a ataques similares gracias a la forma en que divide las conexiones en múltiples “zones”, cada una de las cuales utiliza una tabla de enrutamiento diferente.

Windows

El sistema operativo (SO) Windows es vulnerable a TunnelVision, pero las reglas de cortafuegos que hemos implementado en nuestra aplicación para Windows para garantizar que los datos solo se puedan enrutar a través del túnel VPN significan que nuestra aplicación para Windows no es vulnerable a TunnelVision.

Los intentos de explotar rutas vulnerables a TunnelVision pueden evitar que una aplicación se conecte a sitios web que, de otro modo, podrían ser explotados, pero en ningún momento tus datos corren peligro.

macOS, iOS y iPadOS

Los propios dispositivos de Apple son vulnerables a TunnelVision, pero nuestras aplicaciones para macOS, iOS y iPadOS no son vulnerables cuando activas el Kill Switch. Esto se debe a que las reglas del cortafuegos y otras precauciones utilizadas por el Kill Switch para evitar conexiones fuera del túnel VPN también protegen tu dispositivo contra las vulnerabilidades de TunnelVision.

Linux

Nuestra implementación del protocolo WireGuard® en nuestra aplicación para Linux se diseñó para solucionar este problema. Al usar WireGuard, nuestra aplicación para Linux no es vulnerable a TunnelVision.

¿Cómo funciona TunnelVision?

Las direcciones IP de una red local las asigna el enrutador mediante el Protocolo de configuración dinámica de host (DHCP)(ventana nueva). Las aplicaciones VPN están diseñadas para garantizar que todo el tráfico de internet se enrute a través de una dirección IP local que lo canalice hacia el túnel VPN cifrado.

Un ajuste conocido como opción 121(ventana nueva) permite al enrutador anular dichas configuraciones y enrutar el tráfico fuera del túnel VPN hacia el propio enrutador. Por lo tanto, para que el ataque funcione, el atacante debe controlar el enrutador.

Preguntas frecuentes

¿Es mi dispositivo vulnerable a TunnelVision?

Si usas Proton VPN para:

  • Android: No
  • Windows: No
  • macOS: No, si activas el Kill Switch
  • iOS y iPadOS: No, si activas el Kill Switch
  • Linux: Sí. Pero solo si estás conectado a un enrutador controlado por un atacante malicioso

¿Es mi dispositivo vulnerable en mi red doméstica o de oficina?

Casi con total seguridad, no. La red local tendría que estar comprometida por un atacante malicioso, lo cual es muy poco probable. Sin embargo, las redes WiFi públicas pueden ser inseguras.

¿Es vulnerable mi dispositivo móvil?

Los dispositivos que utilizan conexiones móviles de datos no son vulnerables a los ataques de TunnelVision. Los iPhone y iPad pueden ser vulnerables si están conectados a una red local (por ejemplo, por WiFi o cable ethernet), pero esto se puede mitigar activando el Kill Switch.

¿Por qué algunos dispositivos son más vulnerables que otros?

La forma en que se enrutan los paquetes de datos depende de tu sistema operativo, no de la aplicación VPN. Por lo tanto, es el SO el que determina lo vulnerable que es una plataforma a la vulnerabilidad TunnelVision. Las aplicaciones VPN pueden mitigar el problema, pero, en última instancia, depende de cómo esté diseñado cada SO.