NordVPN es uno de los servicios que más habrás visto rondar por internet en los últimos tiempos: desde carteles publicitarios en páginas web hasta anuncios en YouTube, en Twitter, en tu podcast favorito o a través de campañas con influencers, la omnipresencia del mismo ha sido casi total durante los pasados meses. La noticia de que un centro de datos fue comprometido el pasado año pone en duda ahora su efectividad a la hora de asegurar la privacidad.

Este hecho, que ha sido confirmado por la propia compañía de VPN a través de una publicación en su blog corporativo, fue descubierto el pasado mes de marzo de 2018. La razón de que no se haya revelado hasta ahora, según expresan, es "porque teníamos que asegurarnos de que ninguna de nuestra infraestructura pudiera ser propensa a problemas similares. Esto no se pudo hacer rápidamente debido a la gran cantidad de servidores y la complejidad de nuestra infraestructura".

El ataque en sí tuvo lugar en uno de los centro de datos que la compañía tiene alquilados en Finlandia, al que un tercero logró acceder sin autorización sin de la comapañía debido a una herramienta de gestión remota de la cual disponía el citado centro. "El atacante obtuvo acceso a un solo servidor explotando un sistema de gestión remota inseguro del proveedor del centro de datos", explican, lo cual le daba acceso a determinada información gestiona en dicho lugar.

¿Están tus datos comprometidos?

Si eres usuario de NordVPN, probablemente te estés preguntando si eso significa que tus datos se han visto comprometidos y, en tal caso, hasta qué punto ha sido así. Por fortuna, la información proporcionada indica que el acceso del atacante fue extremadamente limitado y que los datos e información personal de los clientes del servicio no han sufrido ninguna vulnerabilidad. Lo expresan de forma tajante:

No se han interceptado credenciales de usuario. Ningún otro servidor en nuestra red ha sido afectado. El servidor afectado ya no existe y el contrato con el proveedor del servidor ha finalizado.

El servidor en sí, según explican, no contenía ningún tipo de datos personales de los usuarios de la VPN. Sin embargo, sí ha habido cierta información cifrada que el atacante habría podido ver, como aquellas páginas por las que un usuario estaba navegando en un momento dado, aunque sin posibilidad de identificar al mismo ni el contenido específico de estas.

Además, los sistemas utilizados por el servicio habrían impedido que el atacante pudiera inspeccionar el comportamiento de una persona en concreto durante un largo tiempo, ya que "NordVPN generalmente cambia el servidor al que está conectado cada usuario cada cinco minutos más o menos", cuenta el asesor de la firma Tom Okman a The Verge.