ExpressVPN, uno de los proveedores de VPN más reconocidos a nivel global, corrigió recientemente una vulnerabilidad crítica en su cliente para Windows que permitía que el tráfico del Protocolo de Escritorio Remoto (RDP) se saltara el túnel VPN, revelando así la dirección IP real del usuario.

Detalles técnicos del incidente

La falla fue reportada el 25 de abril de 2025 por el investigador de seguridad conocido como Adam-X, a través del programa de recompensas de errores de la compañía. Según el reporte, el tráfico enviado por RDP —que opera típicamente sobre el puerto TCP 3389— no estaba siendo cifrado ni redirigido por el túnel VPN como debería.

Tras una investigación interna, ExpressVPN determinó que la causa del error fue la inclusión accidental de código de depuración utilizado en pruebas internas, el cual fue introducido en las versiones de producción entre la 12.97 y la 12.101.0.2-beta.

“Si un usuario establecía una conexión mediante RDP, ese tráfico podía eludir el túnel VPN”, explicó la empresa en su comunicado oficial.

Aunque la falla no comprometía el cifrado general de la VPN, sí permitía que observadores como proveedores de servicios de Internet (ISP) o actores en la misma red pudieran detectar tanto la conexión activa al servicio de ExpressVPN como los servidores remotos a los que se accedía mediante RDP, lo que normalmente debería permanecer oculto.

Actualización crítica disponible

ExpressVPN lanzó la versión 12.101.0.45 el 18 de junio de 2025, la cual incluye un parche que corrige esta vulnerabilidad. La empresa recomienda encarecidamente que todos los usuarios de Windows actualicen su cliente a esta versión para garantizar la protección completa.

Impacto limitado y acciones futuras

La compañía minimizó el impacto señalando que el uso de RDP no es común entre sus usuarios típicos, mayoritariamente consumidores individuales y no corporativos. Por tanto, el número de personas afectadas habría sido reducido.

Además, la firma se comprometió a reforzar sus controles internos de calidad, incluyendo mayor automatización en las pruebas de desarrollo, para evitar que errores similares lleguen a versiones de producción.

Antecedentes

Este incidente se suma a otro registrado el año pasado, cuando ExpressVPN también enfrentó filtraciones de solicitudes DNS relacionadas con la función de “túnel dividido” en Windows. En aquella ocasión, la característica fue desactivada temporalmente hasta que se aplicó un parche.

Fuente: bleepingcomputer[.]com

You May Also Like

Cuatro tácticas mediante las cuales los piratas informáticos emplean la ingeniería social para evadir la autenticación multifactor (MFA)

HKN FEED

Los piratas informáticos rusos Tomiris apuntan a Asia Central para la recopilación de inteligencia

wpadmin001

¡2.5 Millones de Datos de LinkedIn Expuestos! Cómo Blindar tu Perfil y Defenderte contra Ataques de Ingeniería Social

HKN FEED