PureVPN deja expuestos a los usuarios de Linux: el servicio mantiene abierta una de las principales brechas de seguridad
La seguridad que dábamos por sentada resultó ser solo una ilusión cuidadosamente elaborada.
Un investigador independiente llamado Andreas, autor del blog Anagogistis, descubrió graves vulnerabilidades en los clientes de PureVPN para Linux, que socavan las garantías básicas de anonimato y de protección del tráfico. Los problemas afectan tanto a la versión gráfica (2.10.0) como a la de consola (2.0.1). Ambas fueron probadas en Ubuntu 24.04.3 LTS.
La principal brecha está relacionada con que, al reconectarse a una red Wi‑Fi o al salir el sistema del modo de suspensión, la dirección IPv6 real del usuario queda expuesta. En el cliente de consola, con la función Internet Kill Switch activada, el servicio notifica automáticamente la restauración de la conexión, pero durante ese tiempo el sistema recibe rutas IPv6 a través de Router Advertisements, y los paquetes comienzan a salir eludiendo el túnel VPN. Dado que la política de ip6tables por defecto permanece en ACCEPT, el tráfico abandona el equipo directamente.
El cliente gráfico añade aún más riesgo. Al desconectarse bloquea correctamente IPv4 y muestra una notificación de pérdida de sesión, pero el tráfico IPv6 continúa transmitiéndose sin restricciones hasta que el usuario pulse manualmente el botón Reconectar. De este modo, queda un intervalo temporal considerable durante el cual los datos salen a Internet abierto.
Igual de peligroso es el modo en que el cliente gestiona las reglas del cortafuegos. Al establecer la conexión VPN elimina por completo la configuración existente de iptables, pone INPUT en ACCEPT y borra reglas personalizadas, incluidas las de UFW, las cadenas de docker y las propias políticas de seguridad. Tras finalizar la sesión de VPN, estos cambios no se revierten, dejando el sistema más vulnerable que antes de la conexión.
El especialista que descubrió los problemas entregó a PureVPN a finales de agosto de 2025 informes detallados y vídeos de demostración a través del programa de divulgación de vulnerabilidades de la compañía. Sin embargo, durante tres semanas el servicio no respondió de ninguna manera ni informó a los usuarios sobre los riesgos.
En la práctica, esto significa que los usuarios del cliente de PureVPN para Linux pueden visitar sitios con soporte IPv6 o enviar correo electrónico confiando en que la VPN funciona, aunque su dirección real ya esté expuesta al proveedor. La existencia simultánea de una fuga de IPv6 y de reglas de cortafuegos dañadas indica una ruptura fundamental de los principios básicos de protección en los que se basa la confianza en los servicios VPN.
¿Estás cansado de que Internet sepa todo sobre ti?