Proton VPN evita fingerprinting en iOS: ¿qué implica para tu privacidad?

¿Qué ha ocurrido?

El investigador de seguridad Mysk ha revelado que Proton VPN es la única aplicación de VPN que logra evitar el fingerprinting por túnel interno en iOS. Esta técnica permite a los atacantes identificar a los usuarios a través de la IP interna del túnel VPN, incluso cuando la VPN está activa. El hallazgo, reportado por TechRadar, subraya una vulnerabilidad en el diseño de red de iOS que afecta a la mayoría de las VPNs.

Para entender el problema, hay que recordar que en iOS, las VPNs crean un túnel virtual que encapsula el tráfico. Sin embargo, debido a cómo Apple gestiona las interfaces de red, la IP interna del túnel (por ejemplo, 10.x.x.x) puede ser expuesta a través de APIs como el objeto RTCPeerConnection de WebRTC. Mysk descubrió que Proton VPN asigna direcciones IP internas que no son únicas por sesión, sino que se reutilizan entre usuarios, lo que impide que un sitio web pueda asociar esa IP a un individuo específico. Otras VPNs, como NordVPN o ExpressVPN, asignan IPs únicas por sesión, lo que permite el rastreo.

¿Por qué es importante?

El fingerprinting por túnel interno permite a sitios web y servicios de terceros rastrear a los usuarios incluso cuando usan una VPN. Esto socava el propósito principal de una VPN: proteger la privacidad. Que solo Proton VPN lo evite sugiere que Apple no ha priorizado la seguridad de las conexiones VPN en iOS, dejando un agujero que puede ser explotado. Para los usuarios, esto significa que si usan otra VPN en iOS, su privacidad podría estar comprometida.

Este problema no es nuevo. En 2015, se descubrió que WebRTC filtraba la IP real incluso con VPN activa en escritorio. Apple introdujo mejoras en iOS 14.5 para mitigar WebRTC, pero el túnel interno sigue siendo un vector. A diferencia de Android, donde las VPNs pueden configurarse como interfaces de sistema, iOS limita las VPNs a túneles de capa 3, lo que hace que la IP interna sea accesible. Esto afecta a millones de usuarios: según datos de 2023, el 25% de los usuarios de VPN en móviles usan iOS, y el mercado de VPN móvil crece un 15% anual. Servicios como Netflix o bancos podrían usar esta técnica para detectar y bloquear conexiones VPN, o peor, para rastrear usuarios.

¿Qué consecuencias tendrá?

Este descubrimiento podría presionar a Apple a parchear iOS para cerrar la vulnerabilidad. Históricamente, Apple ha sido lenta en abordar problemas de privacidad relacionados con VPN: el bug de WebRTC en iOS 12 tardó más de un año en solucionarse. Si Apple actúa, podría hacerlo en iOS 18, que se espera para septiembre de 2024. También podría llevar a otros proveedores de VPN a implementar soluciones similares a las de Proton, como asignar IPs no únicas o tunelizar todo el tráfico a través de un proxy local. A corto plazo, los usuarios de iOS que prioricen la privacidad podrían migrar a Proton VPN. A largo plazo, podría aumentar la conciencia sobre las limitaciones de privacidad en dispositivos móviles, impulsando la demanda de alternativas como el uso de navegadores con VPN integrada (por ejemplo, Brave) o servicios de DNS over HTTPS.

En el mercado, Proton VPN podría ganar cuota entre usuarios preocupados por la privacidad, mientras que otros proveedores como NordVPN o ExpressVPN tendrían que explicar por qué no ofrecen la misma protección. Sin embargo, la solución de Proton no es perfecta: reutilizar IPs internas puede causar conflictos en redes corporativas o reducir la velocidad de conexión. Además, el fingerprinting por túnel interno es solo una de muchas técnicas de rastreo; un enfoque integral sigue siendo necesario.

¿Qué deben saber los lectores?

Si usas una VPN en iOS, es posible que tu IP interna sea filtrada. Proton VPN ofrece una solución, pero no es perfecta: la privacidad total requiere un enfoque integral, incluyendo navegadores seguros y hábitos de navegación conscientes. Además, este hallazgo se basa en una investigación independiente, y la comunidad de seguridad está analizando su alcance exacto. Mysk ha publicado un video demostrando la filtración en otras VPNs, pero no ha revelado el código completo, por lo que algunos expertos piden verificación independiente.

Para protegerse, los usuarios pueden: 1) usar Proton VPN en iOS; 2) deshabilitar WebRTC en Safari (Ajustes > Safari > Avanzado > Experimental > WebRTC); 3) usar un navegador como Firefox Focus que bloquea fingerprinting; 4) combinar la VPN con una red Tor (aunque ralentiza). A largo plazo, la solución real está en manos de Apple: modificar iOS para que las VPNs puedan ocultar la IP interna de forma predeterminada. Hasta entonces, los usuarios deben ser conscientes de que su VPN no es un escudo total.