AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Vulnerabilidades

ExpressVPN corrige una vulnerabilidad crítica que permitía el filtrado de IP real mediante RDP en Windows

admin

Introducción

En un contexto donde la privacidad y el anonimato en la red se han convertido en pilares fundamentales para usuarios y organizaciones, los servicios de VPN son herramientas clave para proteger la identidad digital y cifrar el tráfico de red. Sin embargo, una reciente vulnerabilidad en el cliente de ExpressVPN para Windows ha puesto en entredicho la confianza depositada en estos servicios: un fallo permitía que el tráfico generado por Remote Desktop Protocol (RDP) se filtrase fuera del túnel VPN, exponiendo la dirección IP real del usuario. Este incidente reabre el debate sobre la importancia de auditar y validar exhaustivamente las implementaciones de VPN, incluso en proveedores considerados de referencia.

Contexto del Incidente

ExpressVPN, uno de los proveedores de VPN más populares y utilizados por profesionales y empresas, anunció recientemente la corrección de una vulnerabilidad de alta gravedad en su cliente para Windows. El problema afectaba a todas las versiones del software previas a la 12.73.0, liberada el 16 de mayo de 2024. Durante la conexión de escritorio remoto mediante RDP, el tráfico de red podía saltarse el túnel VPN y transmitirse directamente a través de la interfaz de red física, exponiendo la IP real del usuario al servidor remoto.

La vulnerabilidad fue identificada por un investigador independiente que notificó el fallo a ExpressVPN mediante su programa de bug bounty. El proveedor respondió con celeridad, desarrollando y desplegando una actualización correctiva y recomendando a todos sus usuarios de Windows que actualizasen inmediatamente el cliente.

Detalles Técnicos

El fallo no ha recibido un CVE oficial, pero su impacto es equiparable al de vulnerabilidades documentadas en la base MITRE ATT&CK, especialmente en el vector «Exfiltration Over Alternative Protocol» (T1048) y «Network Connection Enumeration» (T1049). La raíz del problema reside en la gestión de las rutas de red por parte del cliente de ExpressVPN: al establecer una sesión RDP, el tráfico asociado (puerto TCP 3389, por defecto) no era encapsulado dentro del túnel VPN, sino que era enrutado a través de la interfaz WAN local.

Este tipo de bypass es especialmente peligroso porque los usuarios pueden creer erróneamente que todo su tráfico está protegido por la VPN, cuando en realidad se produce una fuga de información sensible. En este caso, el uso de RDP —habitual en entornos corporativos, teletrabajo o administración remota— incrementa notablemente los riesgos de exposición, especialmente si se emplea para acceder a recursos críticos o realizar tareas administrativas.

No se han detectado exploits públicos ni integración en frameworks como Metasploit o Cobalt Strike, pero la naturaleza del fallo lo hacía trivial de explotar: bastaba con iniciar una sesión RDP mientras la VPN estaba activa para que la IP real quedase expuesta a cualquier sistema remoto.

Impacto y Riesgos

Según estimaciones del propio proveedor, la base de usuarios afectados podría superar los 3 millones, considerando que el cliente Windows es el más utilizado en entornos corporativos y domésticos. La exposición de la IP real no solo supone un problema de privacidad, sino que puede tener implicaciones legales y regulatorias, especialmente para empresas sujetas a normativas como el GDPR o la directiva NIS2, donde la protección de datos y la confidencialidad de las comunicaciones son requisitos imprescindibles.

El riesgo se agrava en escenarios de amenazas persistentes avanzadas (APT) o campañas de ciberespionaje, donde la correlación de direcciones IP puede emplearse para mapear la infraestructura interna de una organización, lanzar ataques dirigidos o vulnerar la cadena de custodia digital.

Medidas de Mitigación y Recomendaciones

ExpressVPN ha publicado la versión 12.73.0 del cliente Windows, que corrige el fallo de enrutamiento y garantiza que todo el tráfico, incluido el de RDP, sea encapsulado en el túnel VPN. Se recomienda a todos los usuarios actualizar inmediatamente y verificar, mediante herramientas como Wireshark o tcpdump, que no se producen fugas de tráfico fuera del túnel.

Adicionalmente, los administradores de sistemas pueden implementar reglas de firewall para bloquear conexiones salientes de RDP fuera de la interfaz VPN y emplear soluciones de verificación de fugas (leak tests) periódicas. Para entornos de alta seguridad, se recomienda el uso de split tunneling solo bajo estrictos controles y auditorías.

Opinión de Expertos

Analistas de ciberseguridad consultados coinciden en que este incidente subraya la importancia de no confiar ciegamente en las garantías comerciales de los proveedores de VPN. «Las fugas de tráfico por mala gestión de rutas son uno de los fallos más clásicos y peligrosos en clientes VPN. Es imprescindible validar la configuración tras cada actualización y realizar auditorías regulares», señala un CISO de una multinacional del IBEX 35.

Desde el ámbito del hacking ético, se incide en la necesidad de incluir pruebas de fugas de tráfico en todas las fases de pentesting, especialmente en organizaciones que emplean VPN como única medida de anonimización y acceso remoto seguro.

Implicaciones para Empresas y Usuarios

Para las empresas, este incidente supone un recordatorio de la necesidad de gestionar de forma centralizada las actualizaciones de software crítico y de mantener una monitorización activa de los flujos de red. La exposición de IP puede facilitar la atribución de actividades, violar políticas de privacidad y dejar huellas que comprometan la seguridad jurídica y operacional.

Los usuarios individuales, especialmente aquellos que confían en la VPN para actividades sensibles (investigación, activismo, acceso a recursos restringidos), deben ser conscientes de que ninguna solución es infalible y complementar la protección con buenas prácticas operativas y comprobaciones periódicas.

Conclusiones

La vulnerabilidad corregida en el cliente Windows de ExpressVPN demuestra que incluso los servicios más consolidados pueden presentar fallos críticos con impacto directo en la privacidad y la seguridad. La rápida respuesta del proveedor es positiva, pero refuerza la necesidad de mantener una actitud proactiva en la gestión y auditoría de soluciones VPN, tanto a nivel corporativo como individual. Actualizar, verificar y auditar son las claves para minimizar riesgos en un entorno digital cada vez más hostil y regulado.

(Fuente: www.bleepingcomputer.com)