Trate cada proxy gratuito como infraestructura no confiable, porque lo es. El operador es anónimo, el modelo de financiamiento no está claro, y el mismo socket puede rotar a través de una botnet, un router doméstico comprometido y un honeypot de un investigador en una sola semana. Nada de eso hace que los proxies gratuitos sean inutilizables — hace que un pequeño conjunto de hábitos sea no negociable.
Los Ataques Comunes
Las amenazas no son dramáticas. Son del tipo aburrido que tienen éxito porque la mayoría de los usuarios no se molestan en defenderse contra ellas.
Robo de credenciales en HTTP sin cifrar. Si inicias sesión en algo a través de http:// mediante un proxy desconocido, el operador ve la contraseña. Siempre tuneliza TLS a través de CONNECT o usa SOCKS hacia un destino que a su vez exija HTTPS. Los flujos de inicio de sesión modernos son solo HTTPS en los sitios principales, pero las intranets heredadas, las páginas de administración de IoT y las implementaciones antiguas de CMS no lo son.
Inyección de encabezados y contenido. Un proxy HTTP hostil puede reescribir partes arbitrarias de tu solicitud: cambiar cookies, intercambiar referrers, inyectar parámetros de seguimiento o eliminar encabezados de caché. El mismo proxy puede inyectar contenido en las respuestas — scripts en HTML, redirecciones en JSON, anuncios en páginas estáticas. Si lees respuestas del lado del servidor a través del proxy, trátalas como comprometidas hasta que puedas verificar la integridad desde una ruta confiable.
Secuestro de DNS mediante SOCKS5. SOCKS5 puede resolver nombres de host en el proxy. Si el proxy miente sobre un registro DNS, te conectas a un servidor que el operador controla. Configura tu cliente para resolver localmente cuando sea posible: curl --resolve example.com:443:93.184.216.34, o en código, pasa una IP en lugar de un nombre de host.
Registro de tráfico. Incluso un proxy bien intencionado puede registrar cada URL que consultas. Para modelos de amenaza que incluyen "qué URLs solicitó esta persona", cada proxy público es la herramienta equivocada. Usa Tor o una VPN paga con una política de no registro publicada y un historial de citaciones judiciales impugnadas.
Agotamiento de recursos contra el cliente. Algunos proxies deliberadamente estrangulan las conexiones hasta hacerlas muy lentas, devuelven respuestas muy grandes o mantienen sockets abiertos sin enviar datos. Establece límites estrictos de tamaño de respuesta y tiempos de espera de conexión en el lado del cliente.
Defensas, en Orden de Prioridad
Envía todo dentro de TLS a través de CONNECT o hacia un destino HTTPS mediante SOCKS. Nunca reutilices credenciales detrás de un proxy público que reutilizarías en otro lugar. Valida los certificados de forma estricta — fijar el emisor es excesivo para uso casual, pero aceptar cualquier cadena es imprudente. Establece tiempos de espera cortos en conexión y lectura. Registra las respuestas del proxy para revisión forense cuando la carga de trabajo lo amerite. Rota con frecuencia; un proxy que funcionó hace cinco minutos no es necesariamente el mismo proxy ahora.
Para Qué Sirven Realmente los Proxies Gratuitos
Tres categorías de trabajo justifican el ruido. Probar variaciones geográficas de contenido: ¿tu CDN sirve la página correcta desde Fráncfort versus São Paulo? Extraer datos públicos no autenticados: resultados de motores de búsqueda, APIs públicas sin límites de tasa por IP, contenido ya indexado en otro lugar. Verificar que tu aplicación se comporte correctamente cuando su IP de salida no es familiar para el destino — útil para control de calidad en sistemas con heurísticas de fraude basadas en IP.
Úsalos para eso. Acepta la tasa de fallos. No pongas nada que te importe perder detrás de uno.