El Departamento de Seguridad Interior (Department of Homeland Security, DHS) de los Estados Unidos emitía, hace ya unos días, un comunicado de seguridad informando sobre una nueva vulnerabilidad detectada en una cantidad considerable de aplicaciones de red privada virtual (VPN por sus siglas en inglés), y que podría afectar a centenares de dichas aplicaciones.
Una VPN crea una suerte de «túnel» entre el sistema del usuario y un sistema servidor, por el cual pasa toda la información de la conectividad, los datos de los sitios web y los servicios online que el usuario utiliza.
Este túnel se utiliza para varias cosas: en primer lugar, para disfrutar de una conexión segura mediante la encriptación de los datos (disidentes políticos lo utilizan para proteger sus comunicaciones ante la vigilancia de regímenes autoritarios), y en segundo lugar para simular una conexión desde un país diferente del cual realmente nos estamos conectando, para disfrutar de servicios y contenidos audiovisuales con restricciones de uso geográficas.
Por ejemplo, algunas personas utilizan un servicio de VPN para conectarse al Netflix norteamericano, el cual dispone de una mayor cantidad y diversidad de contenidos, además de ser aquel al que más pronto llegan los estrenos.
El motivo del fallo es simple: ha sido detectado que muchas de estas aplicaciones de VPN almacenan de forma insegura las claves de autenticación y/o las cookies de la sesión tanto en memoria como en ficheros de log de la misma sesión, lo que abre la puerta a que terceras partes puedan hacerse con esta información y utilizarla en provecho propio.
El problema afecta a servicios de VPN de compañías como Cisco o F5 Networks, mientras que otros han sido marcados como seguros (Check Point Software, pfSense o Sophos entre ellos), y de la gran mayoría se desconoce el estado, aunque es de suponer que hay posibilidades de que estén afectados.
Podemos encontrar la información técnica del problema y una lista con los clientes afectados en este comunicado del sitio web del CERT (Computer Emergency Response Team) de la Universidad Carnegie Mellon.
A los usuarios de servicios VPN se les recomienda encarecidamente ponerse en contacto con el proveedor de su solución de red privada virtual para asegurarse de que o bien no presenta dicho problema, o bien este ha sido solucionado, aplicando en dicho caso la actualización de seguridad necesaria para continuar navegando de forma segura.