Un reciente descubrimiento por parte de la firma de ciberseguridad Leviathan Security ha puesto al descubierto una preocupante vulnerabilidad en el mundo de las redes privadas virtuales (VPN). Denominado "TunnelVision", este ataque permite a los ciberdelincuentes desviar el tráfico fuera de una conexión VPN cifrada, comprometiendo así la seguridad de la información transmitida.
El modus operandi de este sofisticado ataque radica en la manipulación de la denominada "opción 121" del protocolo DHCP, utilizado por los routers para asignar direcciones IP dinámicamente en redes locales. Al explotar esta vulnerabilidad, los atacantes pueden crear un servidor DHCP clandestino que altera las tablas de enrutamiento, desviando todo el tráfico de la VPN hacia destinos no deseados, sin que el usuario detecte esta actividad maliciosa.
Marijus Briedis, CTO de NordSecurity, enfatiza la importancia de comprender cómo las empresas manejan nuestros datos para influir en nuestro comportamiento, subrayando la necesidad de abordar estas amenazas de seguridad de manera proactiva.
A pesar de que este problema había sido detectado en 2015, su gravedad ha cobrado relevancia con el aumento en la popularidad de las VPN. Según los investigadores de Leviathan Security, esta vulnerabilidad ha estado presente desde 2002, aunque no se tiene constancia de casos previos de explotación.
La firma de seguridad ha notificado a numerosos proveedores de VPN afectados, así como a organizaciones relevantes como CISA y EFF, con el fin de difundir la problemática y aumentar su visibilidad. El anuncio público de la vulnerabilidad (CVE-2024-3661) se ha acompañado de una demostración de un exploit, ilustrando la ejecución exitosa de un ataque TunnelVision.
¿Quiénes corren peligro?
Los usuarios que se conectan a redes controladas por un atacante o que podrían estar comprometidas se encuentran en riesgo. Lugares como redes Wi-Fi públicas en establecimientos como bares, restaurantes, hoteles o aeropuertos son entornos propicios para la explotación de esta vulnerabilidad.
Aunque sistemas operativos como Windows, macOS, Linux e iOS se ven afectados, los dispositivos móviles Android están exentos debido a la falta de soporte para la opción 121 en este sistema.
Expertos aconsejan que los usuarios eviten conectarse a redes no confiables y que consideren la implementación de medidas adicionales, como establecer reglas de firewall específicas, para mitigar el riesgo. Los proveedores de VPN, por su parte, están trabajando en actualizaciones para sus clientes que aborden esta vulnerabilidad y refuercen la seguridad de las conexiones.
En conclusión, mientras se espera que los proveedores de VPN apliquen soluciones para abordar esta vulnerabilidad, la conciencia y la prudencia por parte de los usuarios son fundamentales para protegerse contra los ataques TunnelVision y otras amenazas cibernéticas.