NordVPN, un proveedor de red privada virtual que promete “proteger tu privacidad en línea”, ha confirmado que fue hackeada.
La admisión se produce tras los rumores de que la empresa había sido vulnerada. En primer lugar, se descubrió que NordVPN tenía expuesta una clave privada interna caducada, lo que potencialmente permitía a cualquier persona hacer girar sus propios servidores imitando a NordVPN.
Apparently other VPN providers were also compromised: https://t.co/RoDRLQlYUK
— undefined (@hexdefined) October 21, 2019
Los proveedores de VPN son cada vez más populares ya que aparentemente proporcionan privacidad de tu proveedor de Internet y visitan sitios sobre tu tráfico de navegación en Internet. Es por eso que los periodistas y activistas a menudo utilizan estos servicios, especialmente cuando trabajan en estados hostiles. Estos proveedores canalizan todo el tráfico de Internet a través de una tubería cifrada, lo que hace más difícil para cualquier persona en Internet ver qué sitios estás visitando o qué aplicaciones estás usando. Pero a menudo eso significa desplazar el historial de navegación de tu proveedor de Internet a tu proveedor de VPN. Eso deja a muchos proveedores abiertos al escrutinio, ya que a menudo no está claro si cada proveedor está registrando cada sitio que visita un usuario.
Por su parte, NordVPN ha alegado una política de “cero registros”. “No rastreamos, recogemos o compartimos sus datos privados”, dice la empresa.
Pero es probable que la infracción cause alarma porque los hackers pueden haber estado en posición de acceder a algunos datos de los usuarios.
NordVPN le dijo a TechCrunch que uno de sus centros de datos fue accedido en marzo de 2018. “Uno de los centros de datos en Finlandia que estamos alquilando nuestros servidores fue accedido sin autorización”, dijo la portavoz de NordVPN Laura Tyrell.
El atacante obtuvo acceso al servidor – que había estado activo durante aproximadamente un mes – explotando un sistema de gestión remota inseguro dejado por el proveedor del centro de datos; NordVPN dijo que no era consciente de que tal sistema existía.
NordVPN no nombró al proveedor del centro de datos.
“El servidor en sí no contenía ningún registro de actividad de los usuarios; ninguna de nuestras aplicaciones envía credenciales creadas por los usuarios para su autenticación, por lo que los nombres de usuario y las contraseñas tampoco pudieron ser interceptados”, dijo el portavoz. “En el mismo sentido, la única forma posible de abusar del tráfico del sitio web era realizar un ataque personalizado y complicado de tipo “hombre en el medio” para interceptar una sola conexión que intentara acceder a NordVPN”.
Según el portavoz, la clave privada caducada no pudo ser utilizada para desencriptar el tráfico de la VPN en ningún otro servidor.
NordVPN dijo que se enteró de la violación hace “unos meses”, pero el portavoz dijo que la violación no fue revelada hasta hoy porque la empresa quería estar “100% segura de que cada componente de nuestra infraestructura es seguro”.
Un investigador de seguridad con el que hablamos que revisó la declaración y otras pruebas de la violación, pero pidió que no se le nombrara ya que trabajan para una empresa que requiere autorización para hablar con la prensa, llamó estos hallazgos “preocupantes”.
“Aunque esto no está confirmado y esperamos más pruebas forenses, es una indicación de un compromiso remoto total de los sistemas de este proveedor”, dijo el investigador de seguridad. “Esto debería ser profundamente preocupante para cualquiera que use o promueva estos servicios en particular”.
NordVPN dijo que “ningún otro servidor de nuestra red ha sido afectado”.
Pero el investigador de seguridad advirtió que NordVPN estaba ignorando la cuestión más importante del posible acceso del atacante a través de la red. ” Tu coche acaba de ser robado y llevado a un paseo y estás discutiendo sobre qué botones se pulsaron en la radio?” dijo el investigador.
La compañía confirmó que había instalado sistemas de detección de intrusos, una tecnología popular que las compañías usan para detectar a tiempo infracciones, pero “nadie podía saber sobre un sistema de administración remota no revelado dejado por el proveedor [del centro de datos]”, dijo el portavoz.
NordVPN dijo que disputa esto. “Tratamos a los servidores VPN como no confiables en el resto de nuestra infraestructura. No es posible acceder a otros servidores VPN, a la base de datos de usuarios o a cualquier otro servidor desde un servidor VPN comprometido”, dijo el portavoz.
“Gastaron millones en anuncios, pero aparentemente nada en seguridad defensiva efectiva”, dijo el investigador.
NordVPN fue recientemente recomendado por TechRadar y PCMag. CNET lo describió como su proveedor de VPN “favorito”.
También se cree que varios otros proveedores de VPN pueden haber sido violados alrededor del mismo tiempo. Registros similares publicados en línea – y vistos por TechCrunch – sugieren que TorGuard y VikingVPN también pueden haber sido comprometidos.
Un portavoz de TorGuard dijo a TechCrunch que un “servidor único” fue comprometido en 2017, pero negó que se haya accedido a ningún tráfico de VPN. TorGuard también publicó una extensa declaración después de una entrada en el blog de mayo, que reveló por primera vez la brecha.
Zack Whittaker
