NordVPN no ejecuta ninguna botnet. Así es como puedes saber

El popular servicio de privacidad en Internet NordVPN publicó una publicación de blog a principios de esta semana negando las acusaciones de que están recopilando datos de usuarios y operando una botnet a través de su cliente VPN. Nord invitó a sus usuarios a ver por sí mismos que el cargo no tiene validez al usar Wireshark, así que lo acepté. Así es como usted puede hacer lo mismo.

El expediente judicial contra Tesonet

Aparentemente una demanda reciente inició la campaña de Nord para defenderse de sus acusadores en línea. La demanda, que fue presentada en un tribunal de Texas contra Tesonet, socio de Nord, alega que NordVPN aprovechó la tecnología de un competidor y la utilizó para construir una botnet que obligaría a los usuarios de Nord a actuar como nodos de salida.

Corrección: una versión anterior de este artículo afirmaba incorrectamente que la demanda de Hola era contra NordVPN. La demanda fue presentada contra Tesonet, socio de NordVPN.

La empresa a la que supuestamente robó Tesonet no es otra que Hola, que fue noticia en 2015 después de que se demostró que el anteriormente popular proveedor de VPN gratuito tenía una puerta trasera insegura en su cliente VPN, entre muchas otras cosas. Esto es significativo, porque La caída en desgracia de Hola era una noticia importante en ese momento, y si Nord estuviera haciendo lo mismo, empañaría seriamente su credibilidad.

Así que encendí Wireshark y descubrí que Nord no participa en absoluto en la creación de ningún tipo de botnet , y claramente no está haciendo lo que Hola hizo y sigue haciendo.

Buscando una botnet de malware estilo Hola

Para llegar a esa conclusión, me conecté al cliente NordVPN e inicié Wireshark. Configuré Wireshark para capturar el tráfico en la conexión cifrada que Nord crea cuando se instala.

Dejé que la sesión se ejecutara durante cinco minutos con Chrome cerrado para asegurarme de que el tráfico generado proviniera de un servicio del sistema y no de mi propia navegación. Puedes ver en la captura que mi dirección IP privada está en la subred 10.8.8.0, que es la que usan los clientes de Nord.

En el transcurso de esos cinco minutos, el servidor de medios Plex, que instalé y ejecuté, intercambió un mensaje con el backend de plex.tv.

También probé la versión actual de Hola, para poder ver por mí mismo si el tráfico coincidía con las acusaciones de la demanda. Ejecuté la captura exactamente de la misma manera, cinco minutos con el navegador cerrado.

Aproximadamente un minuto después de que se completó la instalación, Hola comenzó a enviar solicitudes desde mi computadora a la web. Afectó principalmente a los servidores de publicidad, lo que me hace preguntarme si los clientes que pagan de Hola (los que tienen acceso al ancho de banda gratuito de los usuarios de VPN) pueden estar usando Hola para inflar sus propios ingresos publicitarios.

De todos modos, puedes ver la diferencia. En mi opinión, No hay absolutamente ninguna manera de que NordVPN esté ejecutando una botnet. utilizando la propiedad intelectual de Hola.

¿Eso realmente significa que no te están espiando?

Algunos otros proveedores de VPN tienen sido acusado de olfatear las conexiones seguras de sus usuarios y proporcionar la información a las autoridades. No se han presentado acusaciones contra Nord por monitorear las conexiones de esta manera, pero ya estaba comprobando las cosas, así que decidí comprobarlo por mí mismo.

Comprobando el modo promiscuo con NMap

NMap viene con un script llamado sniffer-detección que envía paquetes ARP mal formados a un host, luego informa si estos paquetes fueron rechazados o no.

Un adaptador de red que se ejecuta en modo promiscuo se comportará de manera extraña en algunas circunstancias, guardando paquetes que de otro modo serían rechazados, porque el controlador le está indicando al adaptador de red que pase todo el tráfico a la CPU para su registro. yo corrí sniffer-detección en el servidor NordVPN al que estaba conectado y pude encontrar no hay evidencia de que Nord tenga habilitado el modo promiscuo .

Tenga en cuenta que utilicé un versión personalizada del script que cambié para que muestre resultados incluso si el host no se está ejecutando en modo promiscuo. En la versión original, los hosts seguros no muestran resultados.

NordVPN no parece estar recopilando datos de los usuarios

Según mis pruebas, no veo ninguna evidencia de que NordVPN esté recopilando datos de usuarios o ejecutando una botnet. La demanda me parece infundada y parte de una campaña de difamación más amplia contra NordVPN.

Me comuniqué con Nord para hacer comentarios y les pregunté sobre las recientes acusaciones. Esto es lo que me dijeron:

“Hola VPN utilizó a sus clientes como nodos de salida para realizar un web scraping. Eso significa que los dispositivos de los usuarios se utilizaron como servidores proxy para enviar solicitudes a los sitios web deseados. Este comportamiento se puede comprobar y verificar fácilmente; todas las solicitudes realizadas por nuestras aplicaciones son necesarias para que el servicio funcione correctamente, eso es todo. Los usuarios de NordVPN nunca han sido abusados ​​de ninguna manera, su tráfico nunca fue registrado en ningún punto de su conexión”.

También los presioné para que me aclararan qué significa realmente “no registrar”, y el portavoz de Nord me dijo: “No registramos ningún tráfico ni registros de conexión en ningún punto, ni a nivel de aplicación, ni de servidor, ni en ningún punto intermedio. Ni siquiera solucionamos problemas de nuestros servidores si sucede algo. Si notamos que alguno de nuestros protocolos admitidos no funciona como debería, retiramos inmediatamente un servidor de producción y solo entonces investigamos el problema”. [sic]

En mi opinión, NordVPN es completamente seguro de usar . Pero si no está seguro, instale Wireshark y compruébelo usted mismo. Cuando miras a NordVPN y Hola uno al lado del otro, la diferencia es clara.

Divulgación: NordVPN es una filial de Comparitech. Leer más .