FreeVPN.One y su extensión para Google Chrome están en el punto de mira tras las acusaciones de que habrían estado tomando capturas de pantalla en segundo plano de las páginas visitadas y remitiendo esa información a servidores controlados por el desarrollador. El caso está siendo señalado por investigadores de seguridad y afecta a una extensión con más de 100.000 instalaciones que además exhibe el distintivo Destacado de la Chrome Web Store.

En un contexto donde la privacidad digital se ha vuelto prioritaria, este episodio reabre el debate sobre la confianza que depositamos en herramientas gratuitas. Aunque una VPN reputada puede ayudar, una extensión con permisos amplios puede volverse intrusiva si cambia su comportamiento con actualizaciones, tal y como apuntan los hallazgos sobre FreeVPN.One.

Qué han descubierto los investigadores sobre FreeVPN.One

Según un análisis publicado por Koi Security y firmado por Lotan Sery (investigadora de seguridad), FreeVPN.One habría pasado de un comportamiento aparentemente inocuo a capturar capturas de pantalla sin intervención del usuario pocos segundos después de cargar cualquier web. Esas imágenes, junto con la URL, el ID de la pestaña y un identificador de usuario, se enviarían a un endpoint remoto, como el dominio aitd.one/brange.php, de acuerdo con el informe.

El equipo contactó con el desarrollador, que habló de una supuesta función de Background Scanning y prometió futuros consentimientos explícitos. Sin embargo, Koi Security afirma que no encontró evidencias que respaldaran esas afirmaciones y que la comunicación quedó interrumpida.

Una cronología que levanta cejas

El comportamiento descrito no surgió de un día para otro; el informe traza una escalada progresiva de permisos y capacidades entre primavera y verano.

• Abril 2025 (v3.0.3): inclusión del permiso <all_urls>, otorgando acceso a todas las direcciones que visita el usuario.
• Junio 2025 (v3.1.1): cambio de nombre con la etiqueta AI Threat Detection, uso de scripts en todos los sitios y permiso de scripting.
• 17 de julio de 2025 (v3.1.3): inicio del supuesto espionaje activo: capturas silenciosas, rastreo de ubicación y huella del dispositivo con envío a servidores externos.
• 25 de julio de 2025 (v3.1.4): incorporación de cifrado AES-256 con RSA y un nuevo dominio para dificultar el rastreo de la exfiltración.
• Persistencia del distintivo: pese a los indicios, la extensión mantuvo su estatus de Destacado en la tienda de Chrome.

Permisos y cómo operaría la captura

Aunque extensiones de VPN pueden requerir permisos como proxy y storage para su función básica, Koi Security subraya la petición adicional de tabs, scripting y acceso a todas las URLs. Con esa combinación, la extensión podría inyectar código en cualquier sitio y activar en segundo plano la obtención de capturas pocos segundos tras cargar cada página, todo ello sin señales visibles para el usuario.

Política de privacidad cambiante

La política de FreeVPN.One menciona que se toman capturas solo si el usuario activa la opción AI Threat Detection. No obstante, otra sección indica el uso de datos de uso anonimizados para construir una base de inteligencia de amenazas con independencia de activar o no esa protección, algo que encaja con las observaciones de los investigadores.

Además, se han detectado modificaciones recientes en la política. Una copia de fecha 20 de junio no recogía la sección sobre el uso de datos anonimizados ni el aviso de sistema en fase beta, y tampoco identificaba claramente a la empresa responsable (se aludía a CMO Ltd en otras versiones), lo que incrementa la incertidumbre sobre la entidad operadora.

Un desarrollador difícil de rastrear

La identidad del responsable de la extensión resulta difusa. El único rastro facilitado por Google es un correo de contacto cuyo dominio redirige a una página de Phoenix Software Solutions alojada en un subdominio de Wix (domain146.wixsite.com/phoenixsoftsol). Cuando los investigadores pidieron pruebas de legitimidad como un perfil empresarial, un repositorio de código o presencia profesional, el interlocutor dejó de responder.

Estado de FreeVPN.One en la Chrome Web Store y web oficial

Mientras tanto, la página oficial de FreeVPN.One exhibe contenido escaso y poco informativo; los blogs enlazados en la sección de ubicaciones aportan poco valor y el botón de soporte se limita a un correo electrónico. Pese a ello, la extensión conserva su distintivo de Destacado y mantiene un buen posicionamiento de la palabra clave en buscadores.

Qué hacer si instalaste FreeVPN.One

Si has utilizado esta extensión, merece la pena actuar con rapidez y prudencia para minimizar posibles impactos.

• Desinstala la extensión y revisa si está sincronizada con tu cuenta de Google; considera restablecer la sincronización.
• Elimina datos de navegación y cookies, y revisa permisos concedidos a otras extensiones en Chrome.
• Cambia contraseñas de servicios sensibles si han podido quedar expuestos en capturas (banca, correo, trabajo).
• Activa supervisión de accesos en tus cuentas y configura alertas de seguridad cuando sea posible.
• Notifica a Google mediante el reporte de la extensión en la tienda para acelerar una revisión.
• Valora alternativas con auditorías públicas, reputación contrastada y mínimos permisos en el navegador.

El cuadro que dibujan las pesquisas es el de una extensión popular que, con el tiempo, habría ampliado permisos y telemetría hasta un punto difícil de justificar en términos de privacidad; conviene extremar la cautela con herramientas gratuitas, verificar quién está detrás y, sobre todo, revisar qué permisos y qué cambios traen cada actualización.