El proveedor de redes privadas virtuales (VPN) con sede en China, Terracota, es el favorito de algunos de los grupos de hacking más capaces; se descubrió que está distribuyendo las credenciales de usuario robadas en texto plano.

El error fue revelado por el investigador de fraudes de RSA, Kent Backman, mientras esbozaba más detalles acerca de la organización Terracota VPN, de la que se habló por primera vez en agosto.

Todos los nodos que Terracota utiliza para alimentar su VPN comercial son "cajas distribuidoras", dijo Backman. La mayoría de los 1,500 nodos están en China pero cerca de 600 en Estados Unidos.

Backman y  sus compañeros, Alex Cox, Steven Sipes y Ahmed Sonbol, revelaron en el documento publicado en agosto nombrado Terracotta VPN: Enabler of Advanced Threat Anonymity que varios grupos que hacen uso de Terracota directamente en su actividad delictiva, como DeepPanda, quienes atacaron a compañías como Fortune 500 y otros negocios.

Entre otras organizaciones atacadas se encuentra una agencia estadounidense de transporte, un gobierno del condado de Estados Unidos y un fabricante de alta tecnología. Todas las víctimas han visto comprometidos servidores Windows y servicios de enrutamiento y acceso remoto instalados.

La falla en la VPN significa que los investigadores, o cualquier otro espía, no necesitan vulnerar la infraestructura de Terracota para saber qué datos están robando los criminales que la utilizan.

"La investigación de RSA ha confirmado que los nodos de Terracota envían credenciales de cuentas de usuario a China en claro", dijo Backman en el encuentro 44Con de seguridad el mes pasado.

El seguimiento de RSA a un nodo por más de 30 días obtuvo 118,948 conexiones autenticadas con éxito desde 9,053 direcciones IP únicas, de estas 98 por ciento se originó en China.