ExpressVPN ha declarado un estado de salud limpio luego de una auditoría de seguridad completa.
La compañía solicitó la ayuda de la firma de ciberseguridad Cure53 para realizar una auditoría de seguridad de la extensión de su navegador VPN para Chrome y Firefox a fin de aliviar cualquier problema de seguridad. El informe de pruebas de penetración (o Pentest) es menos extenso que el que hizo la compañía con sede en Berlín para Tunnelbear en 2017 antes de que fuera adquirida por McAfee.
Como especialistas en pruebas de penetración y auditoría de código, Cure53 prueba todo, desde aplicaciones y extensiones hasta sitios web, blogs, configuraciones, servidores, contenedores, infraestructura y cifrado, aunque en el caso de ExpressVPN, solo se examinó la extensión del navegador.
Un equipo de cuatro miembros trabajó durante una semana en las dos extensiones del navegador; una auditoría completa de una solución VPN puede demorar hasta seis semanas, según la complejidad.
En una entrevista enviada por correo electrónico, Harold Li, vicepresidente de ExpressVPN, agregó: "Realizamos auditorías exhaustivas y pruebas de penetración con regularidad en todas las aplicaciones y sistemas de ExpressVPN. Esta es la primera auditoría que publicamos, pero ciertamente no será la última. realice periódicamente auditorías exhaustivas y pruebas de penetración en todas las aplicaciones y sistemas de ExpressVPN. Esta es la primera auditoría que publicamos, pero ciertamente no será la última ".
Defectos de seguridad
Cure53 identificó cuatro vulnerabilidades, tres clasificadas como medias, con cuatro problemas diversos, ninguno de los cuales justificaría una actualización fuera de banda.
Además, señala que "no se descubrieron problemas de seguridad que permitirían (a los atacantes) influir en el estado de la conexión VPN a través de una página web maliciosa o algo similar". y agregó que “varias características que inicialmente tenían como objetivo ofrecer una mejor privacidad a los usuarios, pero fueron víctimas de las deficiencias del navegador, fueron eliminadas después de esta prueba, algo que considera positivo.
Además de la auditoría, el código fuente de la extensión del navegador (que requiere que se ejecute el cliente VPN) se ha publicado bajo una licencia de código abierto que permite a otros examinar la extensión con más detalle.
ExpressVPN, que actualmente encabeza la mejor guía de compra de VPN, ya se ha comprometido a realizar una auditoría de seguridad pública más independiente, una tendencia a la que ya se han sumado otros como NordVPN, VyprVPN, IPVanish y Tunnelbear.
IVPN, Mullvad, TunnelBear y VyprVPN y ExpressVPN también se asociaron con el Center for Democracy & Technology, una organización sin fines de lucro que defiende las libertades civiles y los derechos humanos en línea a nivel mundial y ha pedido un marco más transparente para que opere la industria de las VPN.
- Echa un vistazo a los mejores proveedores de VPN en este momento