Servidores NordVPN hackeados y Tráfico de usuarios expuestos!!

La compañía de servicios de red privada virtual (VPN) NordVPN ha revelado un incidente de hacking ocurrido el año pasado. Acorde a expertos en seguridad de aplicaciones web, en marzo de 2018 un actor de amenazas irrumpió en uno de los servidores de la compañía, ubicado en Finlandia, exponiendo algunos datos sobre los hábitos de navegación de sus clientes.

NordVPN afirma que el servidor no contenía registros de actividad, nombres de usuario ni contraseñas. No obstante, el hacker sí pudo acceder a una lista de sitios visitados durante el tiempo que duró la intrusión, aunque el contenido de dichos sitios web se encuentra protegido con cifrado.

Los servicios de VPN se han vuelto muy populares durante los últimos dos años, aunque muchos usuarios de Internet siguen sin saber en qué consisten exactamente. Los expertos en seguridad de aplicaciones web mencionan que un servicio VPN funciona enviando el tráfico de Internet de los usuarios a través de servidores en múltiples ciudades o países para enmascarar los hábitos de navegación, fortaleciendo la privacidad en línea.

Tom Okman, asesor tecnológico de NordVPN, mencionó: “El responsable del ataque podría haberse infiltrado en el servidor especificado, interceptando sólo el tráfico y el nombre de los sitios web visitados durante un corto periodo de tiempo”.   

NordVPN también mencionó que el servidor al que cada usuario se conecta cambia aproximadamente cada cinco minutos, aunque los usuarios pueden elegir en qué país establecer la conexión. En otras palabras, los usuarios podrían haber estado expuestos, pero por periodos de tiempo muy breves y de manera intermitente. Se estima que la mayoría de los usuarios expuestos se encuentra en Finlandia, donde se ubica el servidor.

Algunos expertos en seguridad de aplicaciones web comenzaron a divulgar el incidente durante el fin de semana pasado. Además, en el mensaje publicado por NordVPN se menciona que la intrusión podría haber durado meses y es probable que se haya presentado debido a que se instaló un sistema de acceso remoto muy poco seguro en el servidor comprometido.

Se calcula que el servidor permaneció comprometido desde el 31 de enero hasta el 20 de marzo de 2018, aunque el hacker sólo habría violado la seguridad de la implementación en una ocasión durante el mes de marzo.

Respecto a posibles ataques, la compañía afirma que la información almacenada en el servidor comprometido no puede ser usada para descifrar el tráfico de otros servidores bajo su control. Aunque NordVPN menciona que era posible usar una clave de cifrado robada para desplegar un ataque Man-in-The-Middle (MiTM), la complejidad de este ataque reduce al mínimo las posibilidades de ejecución, además de que las claves de cifrado posiblemente comprometidas ya han sido revocadas. 

Como medida de seguridad adicional, NordVPN terminó su relación laboral con la compañía encargada del servidor comprometido.

Expertos en seguridad de aplicaciones web del Instituto Internacional de Seguridad Cibernética (IICS) mencionan que la compañía se encuentra informando a los clientes sobre el incidente vía email, aunque sólo como una formalidad, pues la compañía insiste en que esto no puede ser considerado como un incidente de hacking: “Esto es más bien una violación de seguridad aislada. No se ha comprometido la información de ningún usuario”, concluye Okman.

Fuente: noticiasseguridad.com

Comments are closed.