Recientemente, NordVPN admitió que uno de sus servidores en Finlandia sufrió una violación de seguridad a principios de 2018. El problema se produjo debido a una vulnerabilidad en un sistema de gestión remota utilizado por el centro de datos. En la vulneración, el atacante robó una clave TLS (Transport Layer Security) de NordVPN que puede ser utilizada para suplantar el sitio web o los servidores VPN, pero que no permitiría descifrar el tráfico. La otra cosa robada fueron las claves de OpenVPN, lo que potencialmente permite a un atacante configurar servidores que se hacen pasar por servidores legítimos de NordVPN. Sin embargo, de manera similar a la clave TLS, las claves OpenVPN tampoco se podrían usar para descifrar datos.

La vulneración podría haber expuesto a los usuarios a un ataque de intermediario (man-in-the-middle attack) «personalizado y complicado» en una sola conexión que intentaba acceder a nordvpn.com. Esto permitiría al atacante ver el tráfico sin cifrar.

Para ilustrar la complejidad de tal ataque, aquí hay una lista de los pasos que el atacante tendría que tomar:

  1. Obtener el acceso a una red o comprometer el dispositivo de un usuario, donde podrían insertarse entre el usuario y el servidor de NordVPN
  2. Insertarse a sí mismos entre el usuario y el servidor de NordVPN utilizando alguna variante de una técnica de suplantación de identidad, esencialmente engañando a tu dispositivo de que el atacante es el destinatario de las comunicaciones de red
  3. Suplantar al servidor con la clave robada

Según el artículo de NordVPN sobre la violación, «la clave no podría haber sido utilizada para descifrar el tráfico VPN de ningún otro servidor». Dado que NordVPN no mantiene ningún tipo de registros, tampoco se habrían interceptado nombres de usuario y contraseñas. La compañía eliminó rápidamente el servidor cuando se descubrió la violación, lo que limita el alcance del impacto a sus usuarios.

Es en este punto que debemos tener en cuenta que este es un servidor que fue vulnerado desde una flota completa de más de 3.000 en todo el mundo (un número que ha crecido desde principios de 2018), una violación que parece tener un impacto limitado.

Pero en medio de todo este alboroto, está comenzando a surgir otra historia aún más interesante: la de una publicación tecnológica que aviva los incendios para hacer que el incidente de seguridad de NordVPN parezca más grande y a su vez ignora violaciones similares sufridas por TorGuard y Avast Secureline VPN.

La respuesta de los medios

Mucho antes de que otros medios se enteraran de la violación de seguridad de NordVPN, Zack Whittaker de TechCrunch escribió un artículo abrasador sobre el impacto de la situación basado en un hilo de conversación del usuario de Twitter @hexdefined. Si bien el artículo que escribe Whittaker comienza objetivamente, comienza a desviarse rápidamente hacia la especulación, difundiendo «MID» (o FUD, por sus siglas en inglés): miedo, incertidumbre, duda.

Esto se realiza en gran medida con la ayuda de un «investigador de seguridad senior» con el que Whittaker dice haber hablado, el cual no ve cómo frenar su exageración y el jugar con el miedo y, por lo tanto, elevar una historia normal a una digna de un Óscar.

Este «investigador de seguridad» sin nombre hace las siguientes afirmaciones serias:

  • «Esta es una indicación de un compromiso remoto completo»
  • «Debe ser profundamente preocupante para cualquiera que use o promueva estos servicios particulares»
  • «¿Su coche ha sido robado y llevado de paseo y tú estás discutiendo sobre qué botones presionaron en la radio?»

PCGamer entendió de manera desastrosa toda esta cuestión del investigador anónimo de seguridad, quien decidió que el investigador de seguridad era, de alguna manera, en realidad «un investigador de NordVPN, que se negó a ser identificado».

¿Hay algo en las alegaciones del investigador senior?

Aparentemente, sólo hay un reclamo serio hecho por el investigador sin nombre que vale la pena comentar desde una perspectiva técnica. Esta es la afirmación de que las revelaciones de NordVPN indican una violación localizada que podría haberse extendido por toda la red: «[la evidencia] es una indicación de un compromiso remoto total de los sistemas de este proveedor».

Nos hemos comunicado con NordVPN para que haga un comentario sobre esta afirmación. Según los representantes de la compañía, esto no podría ser cierto:

“Nuestra infraestructura está construida de tal manera que la violación de un solo servidor de VPN siempre estará aislada de ese servidor en particular. Es imposible llegar a cualquier otra parte de nuestra infraestructura central (bases de datos, la web u otros servidores de VPN) desde un solo servidor de VPN. La infraestructura de NordVPN no «confía» en nuestros servidores de VPN y fue diseñada de esta manera desde los primeros días de NordVPN».

No está claro en qué se basa la acusación presentada en el artículo de TechCrunch, pero casi no hay ninguna sustancia real detrás de ella; más bien, parece servir como un instrumento para atraer más atención a la historia.

Conclusión

Una última cosa a tener en cuenta sobre este tema es que TechCrunch, donde se originó gran parte de la escalada a esta historia, puede no ser completamente imparcial, algo que no se reveló en el artículo. El sitio web es propiedad de Verizon Media, que opera un servicio de VPN propio llamado Safe Wi-Fi. En segundo lugar, el ISP (proveedor de los servicios de Internet) ha sido fundamental en el esfuerzo por derogar la neutralidad de la red en los EE. UU., algo que los servicios de VPN pueden ayudar a evitar.

En realidad, la violación del servidor de NordVPN, aunque desafortunada, parece ser limitada, y la compañía parece haber tomado las precauciones necesarias para evitar que tales eventos ocurran en el futuro.