Investigación indica que las IPs de salida compartidas de Mullvad aún pueden ayudar a identificar usuarios
Las IPs rotatorias de Mullvad pueden ser menos anónimas de lo que parecen
Nueva investigación sugiere que el sistema de IPs de salida compartidas de Mullvad, diseñado para reducir los inconvenientes de las direcciones VPN saturadas, aún puede utilizarse para crear huellas que identifiquen a los usuarios de formas que pueden afectar la privacidad.
Mullvad es inusual entre los proveedores de VPN en ofrecer múltiples IPs de salida por servidor. Eso significa que dos personas conectadas al mismo servidor a menudo aparecerán ante los sitios web bajo direcciones IP públicas diferentes. La configuración está pensada para evitar los problemas que vienen con agrupar demasiados usuarios tras una misma IP, especialmente en servicios que bloquean o limitan agresivamente el tráfico VPN.
Pero la investigación indica que la IP de salida asignada no se elige al azar cada vez que un usuario se conecta. En lugar de eso, se selecciona de forma determinista en función de la clave de WireGuard del usuario, que rota cada 1 a 30 días a menos que se use un cliente de terceros, en cuyo caso puede que nunca rote.
Para probar el sistema, el investigador cambió repetidamente una clave pública y recopiló las IPs de salida de nueve servidores, generando datos para 3.650 claves públicas (pubkeys) durante la noche. Eso fue suficiente para mapear el rango de IPs de salida de cada servidor. Aunque las combinaciones posibles entre esos servidores sumaban más de 8,2 billones, los resultados observados se redujeron a solo 284 combinaciones.
El patrón fue aún más llamativo cuando el investigador convirtió las IPs de salida en posiciones dentro del pool de cada servidor. A lo largo de las 284 combinaciones, las IPs consistentemente quedaban en el mismo percentil dentro de sus respectivos pools — en un caso, el percentil 81. Eso sugiere que Mullvad no está seleccionando ninguna IP al azar, sino eligiendo IPs vecinas de forma coordinada entre servidores.
Dos servidores, cl-scl-wg-001 y za-jnb-wg-002, compartieron repetidamente los mismos índices de IP en todas las combinaciones observadas. El investigador afirma que ambos tienen tamaños de pool de 11, lo que apunta a un generador de números aleatorios basado en una semilla como el mecanismo probable, con la clave pública (pubkey) o la dirección del túnel actuando como la semilla y el tamaño del pool como el límite.
La implicación es que, aunque las IPs de salida de Mullvad sean compartidas, aún pueden formar un patrón estable que pueda usarse para identificar o rastrear a los usuarios con el tiempo.
Fuentes: