La herramienta para ver Netflix en el extranjero está secuestrando tu conexión

Si utilizas la versión gratis del VPN Hola, tu conexión puede ser comprada y utilizada por otros.

|
05 Junio 2015, 9:20pm

Imagen: A1Stock/Shutterstock

ACTUALIZACIÓN, 29/05/2015, 02:43 pm: Luego de analizar la aplicación Hola, un grupo de investigadores asegura haber descubierto que la aplicación no sólo está engañando a sus usuarios, también los hace vulnerables al hacking y al rastreo.

El sábado un spammer muy conocido que se hace llamar "Bui", posteo más de mil mensajes basura en unos cuantos foros de 8chan, un popular sitio de imágenes en internet.

Lo hizo sólo para molestar, Bui le dijo a Motherboard. Todo terminó con el sitio abajo por unos cuantos minutos gracias a un ataque de denegación de servicios hecho a través de 1474 posts sin sentido, de acuerdo a la administración de 8chan.

Este incidente que parece menor reveló que millones de usuarios de la popular red virtual privada (o VPN) llamada Hola, están siendo vendidos como nodos de salida en una red privada, lo que potencialmente los expone a que sus conexiones y direcciones IP se vean envueltas en actividades ilegales o abusivas.

El ataque de Bui fue posible a través de un sistema pagado llamado Luminati, el que recientemente fue descrito por sus creadores como una "gran, rápida y más anónima" versión del sistema Tor, con "millones" de nodos de salida.

Lo que no dice el impreciso sitio de Luminati es de dónde vienen estos nodos. Resulta que los nodos son usuarios involuntarios del popular servicio de red virtual privada llamado Hola, una aplicación utilizada por millones de persones para, por ejemplo, bloquear los sistemas de geolocalización y ver Netflix desde otros país. Los dueños de Luminati son los mismos de Hola Networks.

Si eres un usuario de la versión gratuita de Hola, tu conexión puede ser vendida como un nodo de salida a través de Luminati.

En la practica, si eres un usuario de la versión gratuita de Hola tu conexión puede ser vendida como un nodo de salida a través de Luminati. En otras palabras, tu conexión a Internet puede ser comprada y utilizada a través de Luminati, utilizando a ti y a otros usuarios de Hola como un nodo que podría ser descrito como una red de bots voluntaria.

Esto es algo que no era muy sabido hasta que 8chan reveló que Luminati y Hola pueden ser utilizados para hacer spam y botar un sitio. Esto es algo que los creadores de Hola no dieron a conocer abiertamente hasta esta semana.

"Podemos proveer de Hola gratuitamente ya que cada usuario es un nodo de salida de otros usuarios" le dijo a Motherboard el co-fundador de Hola, Ofer Vilenski.

La falta de transparencia en cómo Hola vende las conexiones de sus usuarios era evidente en su sitio web.

Las preguntas frecuentes del sitio de Hola no mencionaban a Luminati hasta el miércoles, de acuerdo a algunas paginas archivadas. El sitio fue actualizado luego que la acusación de 8chan apareció en Reddit y Twitter y luego que les escribí para dejar en claro si la acusación era verdad.

"Podemos proveer de Hola gratuitamente ya que cada usuario es un nodo de salida de otros usuarios"

Vilenski dijo que la explicación "de hecho estaba ahí de forma distinta" y señaló que en las antihuas preguntas frecuentes decía: "si quieren utilizar Hola para uso comercial escribanos a business@hola.org para una cita".

De todas formas Vilenski admitió que muchos usuarios probablemente no estén conscientes de esto.

"¿Están el cien por ciento de los usuarios conscientes que están en una red peer to peer y lo que eso significa?" me dijo por teléfono, "La respuesta es no. No porque lo estemos cubriendo o intentando no mostrarlo, porque ahora lo estamos diciendo, pero más que nada porque a la mayoría de los usuarios no les interesa, ellos sólo quieren un buen servicio, que funcione bien".

Un ejemplo de los post con spam en 8chan creados por Bui utilizando Luminati.

Puede que tenga razón, muchos usuarios no saben como funciona Hola realmente.

"Qué???? Horrible!" me dijo un usuario de Hola por chat cuando le pregunte si ella estaba consciente del hecho que Hola permite a otros utilizar su conexión cuando está desocupada. "No tenía idea. WTF, voy a borrarla ASAP".

Al transformarse en un nodo de salida, como una especie de red Tor, los usuarios de Hola están expuestos al mismo riesgo que los operadores de nodos en Tor. Su conexión puede ser utilizada por alguien más para traficar pornografía infantil o bajar material ilegal, por ejemplo. Para las autoridades policías parecería que el inocente usuario de Hola es responsable de estas acciones, ya que la dirección IP está asociada a ellos.

"Si funciona de la manera en que está explicado, es idea terrible usarlo"

"Si funciona de la manera en que está explicado, es idea terrible usarlo" le dijo a Motherboard el investigador de seguridad Raphael Vinot, "porque vas a terminar siendo responsable de lo que otros usuarios del servicio están haciendo".

De hecho en el caso de los nodos de salida de Tor, ellos mismos recomiendan no tener uno en casa, dados los riesgos legales. Como reportó Motherboard previamente, los operadores de salida de Tor pueden enfrentar redadas policiales e incluso cárcel si es que sus nodos están envueltos en actividades ilegales.

Con Hola y Luminati, millones de usuarios (Vilenski dice que tienen 46 millones de instalaciones) son nodos de salida probablemente sin saberlo.

Vilenski me dijo que no permiten que los clientes de Luminati se dediquen actividades ilegales y que la cuenta de Bui fue suspendida luego del incidente con 8chan.

"Somos muy, muy serios respecto a las personas que utilizan mal nuestra red" dijo, agregando que es "estúpido" usar la red para actividades criminales (es bueno señalar que las antiguas preguntas frecuentes no decían que Hola es una red "gestionada y supervisada" y que no le sirve a los criminales que intentan esconder su identidad).

"Básicamente están vendiendo a sus usuarios para intentar descubrir como tener un negocio rentable".

Pero cuando otro investigador de seguridad simuló ser un potencial cliente, un representante de Luminati le dijo que "simplemente ofrecemos una plataforma proxy, lo que haces con ella depende de ti" y que "no tienen idea lo que estas haciendo en su plataforma" de acuerdo al registro de chats que entregó a Motherboard el investigador, quien quiere permanecer anónimo.

Al mismo tiempo, el sitio web de Luminati ahora ya no describe el servicio como "la más grande red anónima del mundo", como decía el martes. Ahora es una red VPN y la palabra "anónimo" ha desaparecido del sitio.

"Al final están intentando descubrir cómo tener un negocio rentable" me dijo Adam Fisk, el fundador de Lantern, una app que le permite a los usuarios ser proxies en Internet para usuarios de países donde hay censura, "básicamente están vendiendo a sus usuarios para conseguirlo".

Vinot, el experto en seguridad, lo describió como un "interesante modelo de negocios".

"Honestamente" dice, "este nivel de engaño es arte".

Esta historia ha sido enmedada. Una versión anterior de esta historia describía a Luminati como una "red de bots involuntaria", pero es mejor describirla como una "red de bots voluntaria".