Contraseñas de usuarios de NordVPN comprometidas y expuestas en foros en línea

El 21 de octubre, NordVPN admitió que los hackers habían accedido a un servidor que usaba el proveedor de VPN. Menos de dos semanas después, el viernes, se hizo evidente que los nombres de usuario y las contraseñas de los usuarios de NordVPN se filtraron en foros públicos en línea y plataformas de intercambio como Pastebin. No es sorprendente que la gente quiera saber si hay una conexión entre los dos incidentes.

La violación que se informó en octubre tuvo lugar en marzo de 2018. NordVPN se apresuró a señalar que sucedió porque el centro de datos finlandés que operaba el servidor comprometido cometió un error. La publicación del blog también señaló que los piratas informáticos no tuvieron acceso a ningún dato personal y que no hay evidencia que sugiera que se haya monitoreado el tráfico. En otras palabras, las credenciales de inicio de sesión de las que habló por primera vez Dan Goodin de Ars Technica el 1 de noviembre no se filtraron durante el ataque de marzo de 2018 contra NordVPN. ¿De dónde vinieron, entonces?

Los hackers lanzan un ataque de relleno de credenciales a los usuarios de NordVPN

Los nombres de usuario y las contraseñas fueron expuestos después de un ataque de relleno de credenciales . En otras palabras, fueron robados de otro servicio en línea que no tiene nada que ver con NordVPN. Después de robar los datos de inicio de sesión, los piratas informáticos probaron las combinaciones de nombre de usuario y contraseña en NordVPN, y debido a que las personas habían reutilizado las mismas credenciales en varios sitios web, algunas de las contraseñas desbloquearon con éxito las cuentas de red privada virtual de los usuarios. Más preocupante, la mayoría de las contraseñas que dan acceso a las VPN de las personas todavía parecen estar activas.

Dan Goodin recibió una lista de 753 pares de direcciones de correo electrónico y contraseñas de texto sin formato, y después de contactar a una muestra de los usuarios afectados, concluyó que todas las combinaciones menos una eran válidas. La única persona que había actualizado su contraseña lo hizo después de recibir una notificación de que alguien había accedido a su cuenta.

Lamentablemente, el lote que Goodin recibió y analizó está lejos de ser el único. Dijo que Troy Hunt había agregado no menos de diez listas similares al servicio de notificación de incumplimiento Have I Been Pwned en cuestión de una semana. Aunque algunas de las cuentas aparecen varias veces, Dan Goodin estimó que al menos 2 mil usuarios de NordVPN podrían verse afectados por el incidente de relleno de credenciales. En comparación con otras infracciones, este número no parece particularmente grande, pero la naturaleza de una cuenta de red privada virtual significa que las consecuencias de comprometer una podrían ser bastante devastadoras. Entonces, ¿quién tiene la culpa?

Todos deben ser más conscientes de los peligros del relleno de credenciales

Como siempre, decir quién es responsable de un incidente de ciberseguridad es más complejo de lo que parece al principio.

Obviamente tiene los servicios en línea que perdieron las credenciales en primer lugar. Merecen críticas no solo porque no pudieron proteger los datos de inicio de sesión de las personas, sino también porque no almacenaron las contraseñas correctamente, lo que es evidente por el hecho de que las credenciales ahora circulan en texto sin formato.

NordVPN no es simplemente una víctima, tampoco. Como señaló Dan Goodin, se supone que este es un servicio en línea que brinda seguridad adicional a las personas, sin embargo, la compañía que cobra dinero por él no implementó suficientes mecanismos de limitación de tarifas que hubieran detenido a los ciberdelincuentes. En un movimiento mejor tarde que nunca, NordVPN le dijo a Ars Technica que ahora trabajará en este problema y también desarrollará un sistema de autenticación de dos factores que debería dificultar la vida de los piratas informáticos.

Sin embargo, al menos parte de la culpa debería recaer también en los usuarios. Durante años, los expertos en ciberseguridad han estado utilizando ejemplos del mundo real para enseñar a las personas lo importante que es la complejidad de la contraseña, pero las credenciales que observó Dan Goodin mostraron definitivamente que el mensaje no se había transmitido. El reportero de Ars Technica dijo que todas las contraseñas que veía eran débiles. Algunos de ellos eran idénticos a la primera parte de la dirección de correo electrónico con la que estaban emparejados, otros eran los apellidos de los usuarios con un par de dígitos adjuntos, y otros aún eran palabras del diccionario que se pueden adivinar con bastante facilidad.

La seguridad de la contraseña (o la falta de ella) ni siquiera es el mayor problema. El concepto de relleno de credenciales depende de que las personas usen combinaciones idénticas de nombre de usuario y contraseña para múltiples sitios web. A pesar de la gran cantidad de incidentes similares que hemos visto en los últimos años, los usuarios continúan usando las mismas contraseñas para muchos servicios en línea diferentes, y luego confían en estos servicios para proteger adecuadamente sus datos de inicio de sesión. Claramente, esta no es la mejor estrategia en la actualidad.

Por un tiempo, ha habido soluciones de administración de contraseñas como Cyclonis Password Manager que pueden ayudar a las personas a evitar cometer los mismos errores una y otra vez, pero por varias razones diferentes, las tasas de adopción no son tan altas como deberían ser.

La verdad es que, incluso si opta por no usar un administrador de contraseñas, debe ser consciente de los peligros que plantean los ataques de relleno de credenciales, y debe asegurarse de que sus defensas sean lo suficientemente suficientes.