Puede que la VPN que usas en tu dispositivo Android 16 no sea tan efectiva como crees. Un nuevo fallo de seguridad en Android 16 permite que cualquier aplicación de tu dispositivo envíe tráfico fuera de tu túnel VPN, exponiendo tu dirección IP real a internet, independientemente de la VPN que uses o de lo restrictiva que sea tu configuración.
La vulnerabilidad fue reportada inicialmente por un ingeniero de seguridad con sede en Zúrich, conocido con el nombre de usuario @cybaqkebm, y posteriormente fue señalada por el proveedor de VPN Mullvad, que confirmó que el error afecta a todas las aplicaciones VPN en Android 16, no solo a la suya.
¿Qué tan grave es esto y qué opina Google al respecto?
El fallo afecta a un servicio del sistema de Android 16 llamado ConnectivityManager. Este servicio permite que las aplicaciones envíen un mensaje final a los servidores web cuando finaliza una conexión. El problema es que este servicio omite por completo el túnel VPN, enviando datos sin cifrar y exponiendo tu dirección IP real.
El ingeniero de seguridad reportó el problema a través del Programa de Recompensas por Vulnerabilidades de Google. Sin embargo, la respuesta de Google fue cerrar el informe y marcarlo como "No se solucionará", argumentando que quedaba fuera de su modelo de amenazas.
Un portavoz de Google declaró a CNET que el problema solo afecta a los dispositivos que han descargado una aplicación maliciosa, y que Google Play Protect protege automáticamente a los usuarios de las aplicaciones maliciosas conocidas.
El problema es que Play Protect solo cubre las aplicaciones que ya reconoce. Anteriormente, aplicaciones maliciosas desconocidas se han colado en la Play Store y han acumulado millones de descargas antes de ser eliminadas.
¿Hay algo que puedas hacer ahora mismo?
Tus opciones son limitadas y ninguna es especialmente fácil de usar. Existe una solución técnica mediante un comando de depuración, pero el investigador que descubrió el error advirtió que solo se debe intentar si se comprenden completamente las implicaciones. Además, es posible que se elimine con futuras actualizaciones de Android.
GrapheneOS, una variante de Android centrada en la seguridad , ya ha solucionado el problema, pero cambiar de sistema operativo no es viable para la mayoría de los usuarios. Aún no hay indicios de que se esté explotando activamente, pero dado que Google no toma medidas, lo más prudente por ahora es tener mucho cuidado con lo que se instala.