Hola! atenta contra la privacidad del usuario y es usada como réplica en ataques DDoS
Hola! es una extensión para Chrome que permite navegar usando redes VPN, de tal forma que ofrece libertad a los usuarios que buscan huír de la censura, acceder a contenidos bloqueados a distintas localizaciones y, además, navegación anónima. Este servicio asegura que hay más de 47 millones de personas que son parte de su red, pero según un grupo de investigadores que se hacen llamar Adios, Hola! se trata de un servicio peligrosamente inseguro.
Vamos a intentar explicar esto: El cliente de Hola! que el usuario descarga tiene fallos que permiten la ejecución de código de forma remota y características que permiten el rastreo de cualquier usuario que esté usando el cliente, lo que contradice una de las premisas que sienta el desarrollador --la navegación anónima--. Además de esto, Hola! vende acceso a su red P2P con muy poca supervisión, lo que da pie a los usos malintencionados. La naturaleza y la escala de esos problemas está haciendo que los investigadores estén animando masivamente a desinstalar la extensión los usuarios.
Después de los primeros informes publicados por los investigadores, Hola! ha realizado algunos cambios. Un método de ejecución de código remoto se eliminó --sólo uno-- y el error de rastreo se ha solucionado. Pero los problemas fundamentales siguen ahí, y son asuntos que tienen que ver con la forma en la que la extensión se ha creado.
En primer lugar, en Hola! no ocultan que trabajan con una red P2P: Los usuarios forman una red muy grande, y el tráfico que usa la extensión se enruta a través de esta red, lo que supone una gran ventaja para la empresa al eliminar la necesidad de tener presencia en distintas partes del mundo, pero es algo con un riesgo enorme para el usuario.
Vamos a ponerlo en perspectiva. Tal y como lo define el equipo de investigadores de Adios, Hola!, si alguien usa la extensión para distribuir pornografía infantil muy bien podría estar usando tu propia conexión, de forma que en menos de lo que canta un gallo tendrías a la unidad de delitos informáticos derribando tu puerta.
Este tipo de riesgos no son algo único de Hola!. La red Tor tiene el mismo problema, ya que sus nodos de salida podrían usarse para estos mismos fines maliciosos. La diferencia principal con Hola! es que los operadores de los nodos de salida de Tor saben lo que hacen y eligen arriesgarse. Los usuarios de Hola! no son conscientes de esto porque no se les informa debidamente, y si quieres salir de este embrollo sólo tienes una opción: Pagar por el servicio.
Aún más: La empresa está vendiendo acceso a su red P2P a través de una subsidiaria llamada Luminati. El negocio de esta subsidiaria de Hola! es vender ancho de banda a través de "un número prácticamente ilimitado de IPs reales". No se trata de un modelo de negocio único, hay más gente que se sirve de él, pero suele tratarse de criminales que venden acceso a botnets o máquinas ya infectadas, que luego suelen usarse de forma común por parte de spammers y como forma de conseguir equipos que se sumen a un ataque DDoS.
Fue este acceso pagado el que se usó en el ataque contra 8chan del que algunos medios se hicieron eco hace unos días. El fundador de Hola! asegura que Luminati monitoriza a los usuarios y que el atacante de 8chan se coló en la red. Esto ya es grave de por sí, pero los investigadores de Adios, Hola! han encontrado que en la práctica no había ninguna restricción significativa para evitarlo, con un representante de ventas de Luminati diciendo que "el programa no sabe qué estás haciendo en nuestra plataforma". Precioso. Igual de bonito que el hecho de que pagando precios que van entre los 1,45 y los 20 dólares se te ofreza acceso completo a un enorme botnet, y los creadores de Hola! son muy conscientes de esto.
Aunque el problema de la ejecución de código remoto y el problema del rastreo se han podido solucionar al menos en parte, debido a la naturaleza P2P de Hola! muchos otros asuntos graves no van a poder tratarse. Enviar tráfico a través de las conexiones de los usuarios de Hola! es una parte integral de sus características y de las de una red P2P. Además, Hola! asume que hay suficientes usuarios actuando como nodos de salida, y si todos dejasen de usar la extensión, entonces la empresa tendría que cambiar la forma en que está construida su red.
De esta forma, el grupo de investigadores Adios, Hola! está aconsejando a todos los usuarios a desinstalar el software. Para aquellos que quieran evitar las restricciones geográficas, hay un buen número de servicios VPN convencionales que no funcionan dentro de una red P2P, y para los que quieran anonimato total Tor sigue siendo la opción indicada.