ExpressVPN, el conocido proveedor de VPN, recientemente se enfrentó a un problema de seguridad que podría haber expuesto la información de los usuarios durante años. Sin embargo, la situación no es tan alarmante como podría parecer a primera vista.
Attila Tomaschek, experto en VPN y redactor de CNET, descubrió que las solicitudes de DNS en su PC con Windows no se redirigían a los servidores dedicados de ExpressVPN, mientras utilizaba la función de túnel dividido (Split Tunneling) en la versión 12 de la aplicación. Esta función permite que el tráfico se enrute tanto a través de una VPN como de la red local al mismo tiempo, pero bajo ciertas condiciones, algunas aplicaciones pueden enviar su tráfico fuera de la VPN.
La compañía actuó tras ser notificado del problema, desactivando la función de túnel dividido en la plataforma hasta que se pueda implementar una solución definitiva. Ellos aseguran que la falla afecta a menos del 1% de los usuarios en una única plataforma de aplicación, la versión 12 para Windows.
Por otra parte, el problema únicamente se replicó bajo el modo específico de túnel dividido que permite sólo a aplicaciones seleccionadas usar la VPN, y no en todos los casos. Para aquellos usuarios que no activaron el túnel dividido o que eligieron el modo opuesto, sus solicitudes de DNS se manejaron correctamente, sin afectar otras protecciones de VPN como la encriptación.
El manejo indebido de DNS en ExpressVPN
El fallo permitía que algunas solicitudes de DNS se dirigieran a servidores de terceros, generalmente el proveedor de servicios de Internet (ISP) del usuario, revelando los dominios visitados, pero no el contenido específico de las Webs o la actividad en línea. ExpressVPN ha lanzado una actualización para la App de Windows en su versión 12, desactivando temporalmente la función de túnel dividido y recomienda a los usuarios actualizar a la última versión de la aplicación.
Cabe destacar que la función de túnel dividido sigue disponible en la versión 10 de la aplicación para Windows y funciona normalmente.
