La app para ver el Netflix de otros países puede llevarte a la cárcel

Luego de analizar la aplicación Hola, que permite que veas la versión de Netflix de otro país, un grupo de investigadores asegura haber descubierto que la aplicación no sólo está engañando a sus usuarios, también los hace vulnerables al hacking y al rastreo.

La semana pasada, un spammer muy conocido que se hace llamar "Bui", posteó más de mil mensajes basura en unos cuantos foros de 8chan, un sitio de imágenes bien conocido en internet.

Bui le contó a Motherboard que sólo lo había hecho para molestar. Todo terminó con el sitio fuera de servicio por unos cuantos minutos gracias a un ataque de denegación de servicios hecho a través de 1,474 posts sin sentido, de acuerdo con la administración de 8chan.

Este incidente que parece menor reveló que millones de usuarios de la popular red virtual privada (o VPN, por sus siglas en inglés) llamada Hola, están siendo vendidos como nodos de salida en una red privada, lo que potencialmente los expone a que sus conexiones y direcciones IP se vean envueltas en actividades ilegales o abusivas.

El ataque de Bui fue posible a través de un sistema pagado llamado Luminati, que recientemente fue descrito por sus creadores como una "gran, rápida y más anónima" versión del sistema Tor, con "millones" de nodos de salida.

Lo que no dice el impreciso sitio de Luminati es de dónde vienen estos nodos. Resulta que los nodos son usuarios involuntarios del popular servicio del VPN Hola, aplicación utilizada por millones de persones para bloquear los sistemas de geolocalización y ver Netflix desde otros país. Los dueños de Luminati también son dueños de Hola Networks.

En la práctica, si eres un usuario de la versión gratuita de Hola, tu conexión puede ser vendida como un nodo de salida a través de Luminati. En otras palabras, tu conexión a Internet puede ser comprada y utilizada a través de Luminati, utilizándote a ti y a otros usuarios de Hola como un nodo que podría ser descrito como una red de bots voluntaria.

Esto es algo que no era muy sabido hasta que 8chan reveló que Luminati y Hola pueden ser utilizados para hacer spam y botar un sitio. Esto es algo que los creadores de Hola no dieron a conocer abiertamente hasta hace unos días.

"Podemos proveer Hola gratuitamente, ya que cada usuario es un nodo de salida de otros usuarios", le dijo a Motherboard el co-fundador de Hola, Ofer Vilenski.

La falta de transparencia en la manera en que Hola vende las conexiones de sus usuarios era evidente en su sitio web.

Las preguntas frecuentes del sitio de Hola no mencionaban a Luminati hasta el miércoles pasado, de acuerdo con algunas páginas archivadas. El sitio fue actualizado luego de que la acusación de 8chan apareció en Reddit y Twitter y luego de que les escribí para dejar en claro si la acusación era verdad o no.

Vilenski dijo que la explicación "de hecho estaba ahí de forma distinta" y señaló que en las antiguas preguntas frecuentes decía: "si quieren utilizar Hola para uso comercial, escríbanos a business@hola.org para una cita".

De todas formas, Vilenski admitió que muchos usuarios probablemente no estén conscientes de esto.

"¿El 100% de los usuarios son conscientes de que están en una red peer to peer y lo que eso significa?," me preguntó por teléfono, "La respuesta es no. No porque lo estemos cubriendo o intentando ocultarlo, porque ahora lo estamos diciendo, pero más que nada porque a la mayoría de los usuarios no les interesa; ellos sólo quieren un buen servicio que funcione bien".

Puede que tenga razón: muchos usuarios no saben cómo funciona Hola realmente.

"¿Qué? ¡Horrible!", me dijo un usuario de Hola por chat cuando le pregunté si ella estaba consciente del hecho de que Hola permita a otros utilizar su conexión cuando está desocupada. "No tenía idea. Voy a borrarla ASAP".

Al transformarse en un nodo de salida, como una especie de red Tor, los usuarios de Hola están expuestos al mismo riesgo que los operadores de nodos en Tor. Su conexión puede ser utilizada por alguien más para traficar pornografía infantil o bajar material ilegal, por ejemplo. Para las autoridades parecería que el inocente usuario de Hola es responsable de estas acciones, ya que la dirección IP está asociada a ellos.

"Si funciona de la manera en que está explicado, es una terrible idea usarlo", le dijo a Motherboard el investigador de seguridad Raphael Vinot, "porque vas a terminar siendo responsable de lo que otros usuarios del servicio están haciendo".

De hecho, en el caso de los nodos de salida de Tor, ellos mismos recomiendan no tener uno en casa, dados los riesgos legales. Como reportó Motherboard previamente, los operadores de salida de Tor pueden enfrentar redadas policiales e incluso cárcel si es que sus nodos están envueltos en actividades ilegales.

Con Hola y Luminati, millones de usuarios (Vilenski dice que tienen 46 millones de instalaciones) son nodos de salida probablemente sin saberlo.

Vilenski me comentó que no permiten que los clientes de Luminati se dediquen a realizar actividades ilegales y que la cuenta de Bui fue suspendida luego del incidente con 8chan.

"Nos tomamos muy, muy en serio a las personas que utilizan mal nuestra red", dijo, agregando que es "estúpido" usar la red para actividades criminales (es bueno señalar que las antiguas preguntas frecuentes no decían que Hola era una red "gestionada y supervisada" y que no le servía a los criminales que intentaban esconder su identidad).

Pero cuando otro investigador de seguridad simuló ser un potencial cliente, un representante de Luminati le dijo que "simplemente ofrecemos una plataforma proxy, lo que haces con ella depende de ti" y que "no tienen idea de lo que estés haciendo en su plataforma", de acuerdo con el registro de chats que el investigador, quien prefiere permanecer anónimo, entregó a Motherboard.

Al mismo tiempo, el sitio web de Luminati dejó de describir el servicio como "la red anónima más grande del mundo", como decía el martes. Ahora es una red VPN y la palabra "anónimo" ha desaparecido del sitio.

"Al final, están intentando descubrir cómo tener un negocio rentable", me dijo Adam Fisk, fundador de Lantern, una app que le permite a los usuarios ser proxies en internet para usuarios de países donde hay censura. "Básicamente, están vendiendo a sus usuarios para conseguirlo".

Vinot, experto en seguridad, lo describió como un "interesante modelo de negocios".

"Honestamente", dice, "este nivel de engaño es arte".