De vez en cuando, me tomo un descanso para brutalizar a los funcionarios y a Facebook para responder una pregunta de un lector. Esta semana, en medio de acusaciones de corrupción y relaciones públicas absurdas, encontré un mensaje de un suscriptor de NordVPN llamado Ann. Ann se ha dado cuenta de la reciente violación de NordVPN y se dice que está preocupada por el proveedor de VPN. La carta de Ann ha sido modificada en aras de la brevedad:

Estoy suscrito a NordVPN, por el momento. Me pregunto si debería continuar mi suscripción con ellos. Nunca he recibido un correo electrónico o mensaje de ellos informándome que su sistema ha sido pirateado. Su artículo es el primero que escucho sobre su violación. Es inquietante

He hablado mucho sobre la violación de NordVPN, pero aquí está la conclusión: en 2018, una persona estaba usando una herramienta de acceso remoto en un servidor VPN alquilado por NordVPN en Finlandia para acceder al servidor. NordVPN indica que esta herramienta fue instalada por la compañía que administra los servidores, sin el conocimiento de NordVPN. Una vez que se detectó la violación, NordVPN cambió de proveedor de servidor pero no informó al público hasta que la violación se convirtió en un tema de discusión en Twitter. Antes del descubrimiento de la falla, NordVPN declaró que el atacante había podido acceder a las claves TLS de la compañía. Esto podría haberse usado en ataques interceptados, pero solo con un trabajo significativo por parte de un atacante. TorGuard, que también tuvo una violación del servidor, dijo que no tenía estos problemas de seguridad.

Lo que está en juego

La violación de NordVPN amenazó dos cosas: los datos reales y la confianza de los usuarios.

Primero, la exposición real de los datos causada por la violación. Por lo que vi, un atacante determinado podría haber visto el tráfico que pasaba por el servidor afectado. Si esto sucediera, el atacante no habría podido asignar este tráfico a una persona específica. El atacante también habría tenido una visión limitada de la actividad del usuario. Mientras los usuarios afectados visitaran sitios HTTPS, el atacante solo habría visto el dominio visitado y nada más. Es la diferencia entre ver a alguien visitando los sitios PCMag.com y PCMag.com/securitywatch.

El atacante también podría haber usado la clave TLS robada para crear URL de NordVPN falsas. Esto es importante por varias razones, sobre todo porque todos los servidores de la compañía tienen "NordVPN.com" en la URL. Con la llave en mano, un atacante podría crear un servidor que parecería ser un servidor VPN normal, pero en realidad le permitiría espiar la actividad del usuario. Si un atacante puede engañar a una víctima para que le pida que instale una versión maliciosa de la aplicación NordVPN, el servidor falso podría revelar el tráfico de la víctima. Pero es una barra alta, y a menos que Ann (y otros usuarios como ella) sean atacados por piratas informáticos, probablemente no tenga que preocuparse por este incidente.

El verdadero problema aquí para la mayoría de los usuarios es el daño causado a su confianza en NordVPN. Si estos problemas existieron, ¿qué pasa? TorGuard dice que utilizó un enfoque diferente y que sus llaves permanecieron seguras durante el ataque. ¿Por qué NordVPN no hizo lo que hizo TorGuard? Estas no son las preguntas que todos deberían tener sobre un servicio en el que necesitan confiar.

La violación también reveló la delicada posición de los contratistas externos en la economía de VPN. Para operar servidores en todo el mundo, las compañías VPN alquilan o compran servidores en centros de datos operados por otra persona. NordVPN explica que el operador del centro de datos es el que instaló la herramienta de acceso remoto en el servidor sin el conocimiento de NordVPN. Incluso si esta narrativa demuestra ser defectuosa, el hecho es que las compañías de VPN no necesariamente ejercen un control total sobre los servidores en sus redes.

NordVPN también esperó mucho tiempo antes de revelar la violación. En su carta, Ann mencionó que nunca había tenido noticias de NordVPN y que no estaba sola en esta área. NordVPN no reveló la violación hasta octubre de 2019, mientras estuvo al tanto por más de un año.

También hizo este anuncio hasta que después Una palabra salió en Twitter sobre la violación. La compañía dijo que seguía siendo madre para asegurarse de que sus otros servidores estuvieran seguros. No sé cuánto tiempo lleva sondear 5.200 servidores, pero un año parece ser largo.

No puedo evitar preguntarme si NordVPN no habría dicho nada sobre la violación si no hubiera habido alboroto público. Esperando tanto tiempo antes de revelar la violación, NordVPN ha perdido la oportunidad de transparencia, y no tenemos más que su promesa de que finalmente se habría producido una divulgación.

Esto es aún más inquietante ya que TorGuard reveló la falla a sus servidores. el día después de su descubrimiento. Es cierto que las circunstancias entre las empresas no eran exactamente las mismas. TorGuard tiene menos servidores que NordVPN y ha declarado que sus claves TLS nunca han sido expuestas. Sin embargo, es difícil no comparar las respuestas.

Una cuestión de confianza

La parte de "tecnología" de "tecnología convencional" puede dar la impresión de que los hechos racionales y fríos son lo único que vale la pena considerar. Pero está lejos de la verdad. Podemos comparar las estadísticas de un Samsung Galaxy y un iPhone, pero es igual de importante saber cómo se siente usarlos. Los activos intangibles son tan importantes como la velocidad del procesador porque realmente nos importa.

Lo mismo es cierto para la seguridad. Al igual que el dinero fiduciario o la democracia representativa, el software de seguridad se basa tanto en sus creencias como en sus mecanismos internos. Si no lo haces pensar si su antivirus o VPN lo protege, ¿para qué sirve? Parte de lo que paga es tranquilidad, lo admita o no.

La confianza y la confianza son los tipos de cosas que una empresa no puede crear con muchas herramientas de seguridad inteligentes. Se ganan por la acción y a menudo se pierden por la inacción. Similar a la experiencia de una computadora pirateada o un robo en el hogar, la violación de NordVPN puede hacer que los clientes se sientan traicionados o desamparados. Esta es una respuesta razonable, y si cree que la compañía no ha hecho lo suficiente para tranquilizarlo, cancelar su suscripción es una decisión razonable.

NordVPN tiene mucho que ofrecer y ha sido un líder de la industria durante años. Pero tendrá que demostrar que puede recuperarse de este episodio y, con suerte, mejorar en el futuro. La compañía dijo que está cambiando la forma en que opera sus servidores y que obligará a los proveedores a cumplir con estándares más altos. NordVPN también se compromete a realizar una auditoría de sus servidores por un tercero. Si es suficiente o no para asegurar a los clientes probablemente dependerá de la persona.

Si los lectores toman algo de esta debacle con NordVPN, espero que no valga la pena conservar ningún producto si no confía en él. Somos afortunados de vivir en un momento en que la competencia es feroz en todas las áreas de seguridad. Si lo que usa no lo hace sentir seguro, es hora de obtenerlo.