Palma de la cara: ExpressVPN, un servicio VPN que proporciona una conexión segura a Internet con una garantía de devolución de dinero de 30 días, tuvo un error en la versión de Windows de su software durante los últimos dos años que podría explotarse para filtrar dominios visitados por los clientes.
El 19 de mayo de 2022, ExpressVPN lanzó la versión 12.23.1 de su software Windows, necesaria para acceder a los conocidos sitios web de la empresa. servicio VPN. Esta versión introdujo un error que permitía que algunas solicitudes de DNS permanecieran «desprotegidas» cuando la función de túnel dividido estaba activa. Como respuesta, los desarrolladores optaron por desactivar temporalmente el túnel dividido.
El sitio web oficial de ExpressVPN explica que túnel dividido permite a los clientes enrutar cierto tráfico de dispositivos o aplicaciones a través del túnel VPN cifrado mientras permite que otros dispositivos o aplicaciones accedan a Internet directamente. Esta característica puede resultar beneficiosa en escenarios específicos donde el tráfico de Internet cifrado podría impedir el acceso adecuado a los servicios locales. Además, puede proporcionar un rendimiento de descarga mejorado o acceso sin obstáculos a dispositivos conectados a la red local (LAN).
ExpressVPN admite dos modos de túnel dividido: túnel dividido normal y túnel dividido «inverso». Con el software con errores, el uso de túneles inversos provocó la filtración de las solicitudes de DNS de los usuarios a servidores de terceros. En lugar de pasar por los servidores de ExpressVPN, las solicitudes de resolución de dominio atravesaron la conexión a Internet normal, lo que potencialmente permitió que entidades externas (generalmente el ISP que administra los servidores DNS) detecten la actividad de navegación de los usuarios.
El error, reconocido por ExpressVPN, fue descubierto por el «experto en VPN» y redactor de CNET, Attila Tomaschek. Fue un poco embarazoso para una empresa que promete un servicio VPN seguro que «simplemente funciona». A pesar de afectar a menos del uno por ciento de la base de usuarios de Windows, la empresa decidió desactivar toda la función de túnel dividido para minimizar los posibles riesgos continuos.
La última versión de ExpressVPN para Windows ya no ofrece las opciones de túnel dividido y se recomienda a los usuarios que la instalen lo antes posible por razones de seguridad. Los usuarios de la versión anterior 10, así como los clientes de otras plataformas informáticas, no se ven afectados por el error.
Los programadores de ExpressVPN están trabajando diligentemente para abordar la falla de seguridad en la versión 12, como afirma la compañía. Una vez que los ingenieros estén seguros de que el problema de DNS se ha resuelto, se debe restablecer el túnel dividido en una versión actualizada.