NordVPN es un proveedor de servicios de red privada virtual que asegura mantener su privacidad en línea. Tiene aplicaciones de escritorio para Windows, macOS y Linux, aplicaciones móviles para Android e iOS, también una aplicación para Android TV.
Exactamente cómo sucedió es una historia difícil, pero comenzaremos con la interpretación de los incidentes de NordVPN. NordVPN explicó que los piratas informáticos dañaron un solo servidor VPN en Finlandia. Sus propios servidores no estaban en peligro.
NordVPN declaró que la violación «fue posible debido a una configuración deficiente en la parte del centro de datos de un tercero de la que nunca se nos notificó«.
La prueba sugiere que el ataque de piratería probablemente tuvo lugar entre el 31 de enero de 2018, cuando el servidor se conectó, y el 5 de marzo de 2018.
El ataque se realizó a través de una cuenta de centro de datos comprometida, no una cuenta supervisada por NordVPN.
El centro de datos suspendió esta cuenta el 20 de marzo de 2018, bloqueando cualquier acceso adicional al servidor.
Fondo:
El 3 de mayo de 2018, un usuario en el panel de comunicación de 8chan inició un diálogo invitando a sugerencias de VPN, y otros usuarios comenzaron a mostrar sus VPN favoritas, como NordVPN, Mullvad, TorGuard, VikingVPN, cryptostorm y más.
Otro usuario creó una publicación a las 20:46, comentando estas recomendaciones. Mullvad y cryptostorm obtuvieron una ‘buena elección’ de aprobación, pero NordVPN, TorGuard y VikingVPN obtuvieron un ‘jajaja, no’, con enlaces a evidencia que revelan detalles del servidor pirateado de cada proveedor: archivos de configuración, claves privadas, detalles básicos de la sesión y más.
Al inspeccionar el texto, notó que se mostraban los enlaces VikingVPN y TorGuard para indicar los tiempos de conexión de la sesión y algunos datos del archivo del jueves 3 de mayo, el día en que comenzó la conversación de 8chan.
Eso indica que el usuario no solo los encontró en alguna parte, o los recibió de otra persona; vio el hilo y eligió los datos del servidor en vivo en breve. Es un truco muy rápido o el usuario ya reconoció la exposición de cada proveedor.
Los detalles de NordVPN no contenían ninguna evidencia de fecha como, entonces, ¿cuándo ocurrió el hackeo? Ahí es donde la imagen se oscurece.
¿Qué comprometieron los usuarios de NordVPN?
Los usuarios de NordVPN no se han visto comprometidos por piratas informáticos que acaban de obtener acceso a una clave TLS caducada para un solo servidor.
En primer lugar, el hacker no tenía acceso a los registros del servidor porque NordVPN es un proveedor de VPN sin registros que no reserva nada en sus servidores. NordVPN aprobó una auditoría de terceros realizada por PricewaterhouseCoopers para verificar cuál es la política de cero registros.
En segundo lugar, NordVPN usa Perfect Forward Secrecy, que activa una clave diferente para cada sesión usando claves efímeras Diffie-Hellman. Esto sugiere que, incluso con una clave TLS, es poco lo que un pirata informático podría hacer, ya que las claves se utilizan para la autenticación del servidor y no para el cifrado del tráfico. Como NordVPN mencionó anteriormente, el pirata informático requeriría acceso explícito al dispositivo o la red del usuario para un brote poderoso que es extremadamente imposible.
¿Cómo obtuvo el hacker las claves TLS?
La explicación a esta pregunta no parece ser clara.
NordVPN está criticando el centro de datos en Finlandia, como ilustraron en su respuesta oficial:
“La violación fue posible debido a una configuración deficiente por parte de un centro de datos de un tercero del que nunca se nos notificó. La evidencia sugiere que cuando el centro de datos se dio cuenta de la intrusión, eliminó las cuentas que habían causado las vulnerabilidades en lugar de notificarnos su error. Tan pronto como nos enteramos de la brecha, el servidor y nuestro contrato con el proveedor fueron rescindidos y comenzamos una auditoría exhaustiva de nuestro servicio”.
Mientras tanto, el centro de datos acusa a NordVPN en un artículo publicado en The Register:
“Sí, podemos confirmar que eran nuestros clientes”, continuó Viskari. “Y tenían un problema con su seguridad porque ellos mismos no se ocupaban de eso”.
“Todos los servidores que proporcionamos tienen la herramienta de acceso remoto iLO o iDRAC y, de hecho, esta herramienta de acceso remoto tiene problemas de seguridad de vez en cuando, como casi todo el software del mundo. Parchamos esta herramienta a medida que se lanzaba un nuevo firmware de HP o Dell”.
En última instancia, puede haber una tercera declaración de un empleado descontento. Quien fue el fundador de VikingVPN, que ya no está conectado con VikingVPN, dijo en reddit que,
“Esto suena más como un empleado descontento en Nord o el centro de datos que filtra las claves en lugar de un “hacker”.
Entonces, aquí tenemos tres probabilidades distintas de cómo el pirata informático podría haber recibido la clave TLS caducada del servidor NordVPN en Finlandia. Sin embargo, la consecuencia para los usuarios de NordVPN es casi nula.
¿Qué hizo NordVPN a continuación?
NordVPN después de ser pirateada, vale la pena saber qué ha concluido la compañía a partir de la piratería y cuáles son sus próximos planes.
Después de enterarse del ataque, NordVPN dice que pronto lanzó una «auditoría interna exhaustiva» de toda su infraestructura. La compañía dijo que esto reveló ‘algunos servidores que podrían estar potencialmente en riesgo’ a través de un mismo sistema de acceso remoto, pero estos han sido reparados o eliminados.
La seguridad del servidor se ha reforzado con el almacenamiento cifrado, lo que hace mucho más imposible acceder a la información a través de un sistema de gestión remoto.
En un movimiento extremadamente importante, NordVPN se asoció con la consultora de seguridad VerSprite para trabajar en pruebas de penetración, manejo de intrusiones y análisis de código fuente.
La compañía garantiza una «auditoría de seguridad independiente de terceros a gran escala» de toda su infraestructura en 2020, como hardware, software, arquitectura de back-end y código fuente, y procedimientos internos. Parece que superará fácilmente todas las auditorías de seguridad de VPN.
Los planes a más largo plazo implican la creación de una red de servidores colocados que es propiedad exclusiva de NordVPN y que se ejecutan completamente en RAM. No contendrán datos almacenados localmente ni archivos de configuración, nada que pueda reconocerse en un hack. Ese también es un buen paso.
El 9 de octubre, NordVPN confirmó los resultados de una auditoría VerSprite de sus aplicaciones, con 17 errores encontrados y corregidos.
Ese es un gran contrato. Hemos observado muchas aplicaciones VPN horribles para darnos cuenta de que muchos proveedores probablemente nunca darán un paso a ese nivel de escrutinio.
NordVPN es posiblemente el proveedor de VPN más famoso del mercado. Por lo tanto, tiene un gran objetivo a la espalda en un sector competitivo. Con suerte, NordVPN utilizará esto como una alternativa para priorizar las cosas con más énfasis en la seguridad y mejorar su VPN.
