Se ha descubierto recientemente una vulnerabilidad en iOS 13.3.1 que causa que los servicios de VPN no cifren todas las conexiones. Debido a este error es posible que se expongan algunos datos, así como la dirección IP del dispositivo.
Una situación con una solución temporal
Ha sido ProtonVPN, el servicio de VPN de la conocida empresa suiza que ofrece también ProtonMail, un servicio de correo centrado en la privacidad, quien ha hecho el anuncio. Los investigadores han descubierto que, por error, iOS no finaliza todas las conexiones existentes después de conectarse a una red VPN.
Vamos a explicarlo de forma sencilla. Una red VPN, que significa red privada virtual se ocupa, en resumidas cuentas, de dirigir todas las conexiones de un dispositivo a un servidor concreto y hacerlo de forma cifrada. Antes de que nos conectemos a un servidor VPN las conexiones que nuestro dispositivo tiene abiertas, por ejemplo para recibir notificaciones, ni están cifradas ni están direccionadas al servidor.
Cuando conectamos al servicio de VPN se espera que el sistema negocie la conexión y la establezca, acto seguido debería dar por finalizadas todas las conexiones existentes para que, al volver a iniciarlas automáticamente, pasen a través del VPN. Pues ahí está la cuestión, no todas las conexiones se dan por finalizadas, quedando conexiones abiertas que exponen tanto los datos que viajan por ellas como la dirección IP (como la matrícula en internet) que está usando el dispositivo.
En iOS y iPadOS las apps de VPN no tienen acceso a para finalizar conexiones de red existentes, por lo que la solución deberá aportarla Apple. Mientras esperamos la siguiente actualización de software que solucione esta situación tenemos un pequeño recurso: el modo avión. Si nos conectamos a un servidor VPN y luego activamos el modo avión forzamos al dispositivo a finalizar todas las conexiones. Posteriormente, al desactivar el modo avión, la conexión VPN se restablece y las subsiguientes conexiones deberían entrar dentro la conexión cifrada del VPN.
Cabe mencionar que según el tiempo que tarde el dispositivo en conectar al servidor VPN es posible que algunas conexiones se hayan establecido previamente, escapando de nuevo al cifrado y seguridad del VPN.
La reciente actualización de iOS e iPadOS 13.4 no mencionan la solución de este error. Apple está al corriente de la situación y con toda seguridad veremos aparecer una actualización al respecto. Mientras, usemos las conexiones VPN con cautela.
Más información | ProtonVPN
