Es posible que su dirección IP esté filtrada. Ahora mismo.
Android 16 tiene un problema técnico y no es pequeño. Un ingeniero de seguridad con sede en Zurich publicó sobre esto en lowlevel.fun, detallando una vulnerabilidad donde las aplicaciones pueden ignorar por completo la configuración de su VPN. Los datos van directamente a los servidores web, sin máscara. Sin cifrado. Sin esconderse.
El investigador informó esto a Google a través de su Programa de recompensa por vulnerabilidad. Ya conoces el procedimiento, encuentras un error y te pagan. El equipo de seguridad de Google examinó los registros y cerró el ticket.
¿Su respuesta? Es “inviable” arreglarlo.
Dijeron que no era una prioridad lo suficientemente alta. El investigador no ha respondido a las solicitudes de comentarios, por lo que debemos confiar en su palabra para el resto.
Google intentó calmar los nervios en un correo electrónico a CNET.
“Este problema sólo afecta a los dispositivos que han instalado una aplicación maliciosa”.
Punto justo. Si no tienes aplicaciones malas, no tienes fugas. Pero eso depende de que Google Play Protect detecte todo al instante. Por definición, no puede. Las nuevas amenazas existen antes de que se conozcan. Hay una ventana de tiempo. Uno peligroso.
Retrocedamos un segundo. ¿Qué es incluso una VPN?
Es un software que codifica su tráfico y oculta su IP real. ¿Quieres privacidad? ¿Quieres parecer como si estuvieras en un país diferente? Así es como.
Este error afecta al servicio del sistema ConnectivityManager en Android 16. Ese servicio informa a los servidores web cuando una conexión ha finalizado por completo. Sencillo, ¿verdad? Equivocado. Ese apretón de manos final evita por completo el túnel VPN. Su dirección IP real queda estampada en ese paquete. No importa dónde esté ubicado el servidor. Muestra quién eres realmente.
¿Tipo de VPN? Irrelevante.
¿Configuración de cifrado? Pasado por alto.
¿Permisos? Inútil aquí.
No se trata de una configuración débil. Es un punto ciego estructural.
Aquí está el truco. Puedes tener “VPN siempre activa” habilitada. Puedes activar “Bloquear conexiones sin VPN”. Estas funciones prometen cero actividad no segura. Son las pesadas cerraduras de la puerta de entrada digital. Este error encuentra una salida por la ventana de todos modos.
Esto es aterrador para las personas que realmente necesitan privacidad. Periodistas. Activistas. Personas en regímenes restrictivos. Los escenarios les mienten. La conexión está activa, pero la protección es hueca.
¿Hay evidencia de que alguien haya utilizado esto como arma todavía?
No. Nada en la naturaleza. Todavía.
Pero dejarlo abierto no hace que desaparezca. Los usuarios de Android 16 son blancos fáciles a menos que se muevan.
GrapheneOS lo parchó.
Esto demuestra que el error se puede solucionar. Si Google dijo que era imposible, GrapheneOS demostró que estaban equivocados con una actualización de código. Si su privacidad le importa más que tener una ROM básica, Mullvad sugiere cambiar.
Hay otra ruta. Es un desastre. Requiere comodidad tecnológica.
El ingeniero de seguridad encontró un comando de depuración que desactiva el comportamiento defectuoso. Funciona cuando la depuración USB está habilitada. Puede descargar Android Debug Bridge y ejecutarlo usted mismo.
Pero no seas tonto. Solo toque estas configuraciones si sabe exactamente qué hace cerrar las funciones en modo de depuración.
De lo contrario, estás esperando que Google cambie de opinión sobre la “prioridad”. O esperar a que alguien aproveche la filtración.
