VPN lo cifra todo, excepto tu IP. ExpressVPN cede accidentalmente a sus clientes

Eventos ExpressVPN RDP VPN Windows dirección IP cifrado vulnerabilidad
VPN lo cifra todo, excepto tu IP. ExpressVPN cede accidentalmente a sus clientes
Eventos ExpressVPN RDP VPN Windows dirección IP cifrado vulnerabilidad

Los usuarios creían ser invisibles en línea, pero brillaban como un árbol de Navidad.

image

El servicio ExpressVPN corrigió una vulnerabilidad en su cliente para Windows que permitía eludir el túnel VPN al usar el protocolo de escritorio remoto (RDP), exponiendo las direcciones IP reales de los usuarios. El problema afectó a las versiones del cliente desde la 12.97 hasta la 12.101.0.2-beta y fue causado por un código de depuración dejado accidentalmente, destinado a pruebas internas. La vulnerabilidad fue descubierta el 25 de abril de 2025 por un especialista bajo el seudónimo Adam-X a través del programa de recompensas por informes de errores.

El problema consistía en que, al conectarse mediante RDP, el tráfico no pasaba por el túnel cifrado, como se espera al utilizar una VPN, sino directamente, lo que permitía a un observador externo —ya fuera un proveedor de internet u otra persona en la red local— ver no solo el hecho de que se estaba utilizando ExpressVPN, sino también las direcciones exactas de los servidores remotos a los que se establecía la conexión.

A pesar de que los datos permanecían cifrados, el hecho de que se eludiera el túnel VPN se considera un fallo grave. Especialmente para una empresa que se posiciona como uno de los líderes en privacidad y seguridad. ExpressVPN declaró que la vulnerabilidad tenía un alcance limitado y afectaba principalmente a los usuarios que utilizan activamente RDP, un protocolo común en entornos corporativos y entre administradores de TI, pero poco frecuente entre los clientes comunes.

La actualización con la corrección fue lanzada el 18 de junio de 2025 en la versión 12.101.0.45. La empresa recomendó a todos los usuarios de Windows actualizar inmediatamente el cliente a esta versión. También prometió reforzar la verificación interna de las compilaciones de producción, incluso mediante una automatización de pruebas más estricta, para evitar que situaciones similares se repitan en el futuro.

Este no es el primer fallo técnico en ExpressVPN en el último tiempo. Anteriormente, en 2024, se registró una fuga de consultas DNS al utilizar la función de túnel dividido. En esa ocasión, la función fue desactivada temporalmente hasta el lanzamiento de una actualización.

No esperes a que los hackers te ataquen: ¡suscríbete a nuestro canal y conviértete en una fortaleza impenetrable!

Suscribirse

Noticias sobre el tema

Lo privado se ha vuelto público: fotos picantes de una app de fitness se han filtrado al dominio público

Root en Cisco. Y sin necesidad de contraseña. Si no actualizaste — el sistema ya no es tuyo

Se acabaron los novatos en seguridad de la información. La IA lo hace todo por ellos

Sistema lista para la huida: Microsoft añade el “modo maleta” para migrar desde Windows 10

Estás alimentando una cripto-granja ajena. Tú mismo. Voluntariamente. Con tu dinero, tu hardware y tu silencio

Un salto al infierno por la ciencia. El 18 de julio, la NASA lanzará SNIFS hacia el Sol

CrushFTP bajo ataque de nuevo: puertas traseras, cuentas falsas e inicio de sesión invisible al panel de administración

Cien empresas ya han caído. El día cero de SharePoint está fuera de control

KB5062557: la actualización de Windows Server provocó un fallo total de infraestructura