Nuestros usuarios confían en ExpressVPN para asegurar que su actividad online es privada y está protegida, gracias a nuestro software y a las medidas de privacidad que hemos implementado. Para validar que estas medidas de seguridad funcionan según lo previsto, habitualmente llevamos a cabo numerosas pruebas internas y, a su vez solicitamos con regularidad auditorías realizadas por terceros.
Por eso, nos complace anunciar que la firma de ciberseguridad Cure53 ha realizado evaluaciones por separado de nuestras aplicaciones móviles para iOS y Android mediante pruebas de penetración de caja blanca y auditorías de código fuente. La auditoría de nuestra aplicación de Android se llevó a cabo en agosto y la auditoría de iOS transcurrió desde finales de agosto hasta principios de septiembre.
Las auditorías incluyeron el análisis de ExpressVPN Keys, un gestor de contraseñas integrado en nuestras aplicaciones móviles, así como nuestra integración y dependencias del protocolo VPN.
Estas evaluaciones independientes son fundamentales para brindar una verificación imparcial de nuestras ofertas de seguridad. También proporcionan información cómo resiste nuestra VPN los ataques malintencionados de usuarios y aplicaciones de terceros. Estamos satisfechos con las verificaciones realizadas por Cure53 y esperamos realizar aún más auditorías para mejorar nuestro liderazgo en la industria de la seguridad online.
“Reconocemos la creciente necesidad de protección para la seguridad y la privacidad digital en todo el mundo, por lo que me complace compartir que ambas aplicaciones móviles de ExpressVPN ya han sido auditadas por los expertos en seguridad independientes de Cure53. Este anuncio es aún más significativo, ya que se da apenas unas semanas después de haber completado las auditorías de nuestras tres aplicaciones de escritorio, así como de la auditoría que KPMG llevo a cabo sobre nuestra política sin registros”, dijo Brian Schirmacher, gerente de pruebas de penetración de ExpressVPN. “Las auditorías realizadas por prestigiosas firmas de ciberseguridad como Cure53 son una de nuestras muchas iniciativas de confianza y transparencia. Queremos seguir fijando un alto estándar para la industria”.
Se confirma que las aplicaciones móviles de ExpressVPN para iOS y Android son seguras
En su investigación en profundidad de nuestra aplicación móvil para Android, Cure53 descubrió tres vulnerabilidades de seguridad, clasificadas como de gravedad “media” o “baja”. También hicieron diez recomendaciones generales de fortalecimiento, todas para problemas identificados como “Varios: informativos”.
Este resultado ofrece amplia evidencia de que el equipo de ExpressVPN no solo es muy consciente de los muchos problemas a los que se enfrentan las aplicaciones VPN modernas, sino que también puede combatirlos de manera efectiva”, afirma Cure53 en su informe. “En términos generales, a pesar de la cantidad relativamente alta de descubrimientos, la impresión general obtenida por el equipo de prueba después de la evaluación es positiva. Esto se debe principalmente al hecho de que la gran mayoría de los hallazgos son alguna variación de las configuraciones erróneas comunes que a menudo están presentes en las aplicaciones para Android”.
“Este punto de vista positivo también está corroborado por el hecho de que ninguna de las vulnerabilidades antes mencionadas puede ser traspasada directamente para llevar a cabo ataques exitosos”.
Consulte el informe de auditoría de Cure53 sobre nuestra aplicación móvil para Android.
En cuanto a nuestra aplicación para iOS, la evaluación de seguridad detallada de Cure53 identificó cuatro vulnerabilidades, todas clasificadas como de gravedad “media” o “baja”. Tres de estos problemas están relacionados con la divulgación de información local, lo que significa que un actor de amenazas necesitaría acceso físico a un dispositivo o haberlo vulnerado para afectar de forma alguna al usuario. También se hicieron cinco recomendaciones de fortalecimiento con menor potencial de explotación.
“El hecho de que a todos los hallazgos se les haya asignado una calificación de gravedad “media” o inferior, indica una falta total de superficies de ataque significativas y de potencial de amenaza dañino”, afirma Cure53. “En definitiva, el equipo de desarrollo merece todos los elogios por sus diligentes esfuerzos para minimizar cualquier amenaza potencial en la aplicación para iOS, con solo algunos ajustes menores necesarios para posicionar la plataforma como estándar ejemplar desde una perspectiva de seguridad”.
Consulte el informe de auditoría de Cure53 sobre nuestra aplicación móvil para iOS.
Desde entonces, hemos atendido todas las recomendaciones más relevantes en las auditorías de nuestras aplicaciones móviles para iOS y Android. Nuestro equipo de seguridad interna ya solucionó la mayoría de los problemas. Aquellas que decidimos no modificar fue debido al posible impacto que las correcciones podrían tener sobre la usabilidad y funcionalidad de la aplicación, con lo que Cure53 estuvo de acuerdo.
Nuestra dedicación a salvaguardar la privacidad del usuario
Estas dos nuevas auditorías de nuestras aplicaciones móviles elevan a 13 la lista de evaluaciones de seguridad totales publicadas de ExpressVPN. He aquí una lista de nuestras auditorías externas anteriores, ordenadas cronológicamente:
- Una auditoría realizada por KPMG de nuestra política sin registros (septiembre de 2022)
- Una auditoría realizada por Cure53 de nuestra aplicación para Linux (agosto de 2022)
- Una auditoría realizada por Cure53 de nuestra aplicación para macOS (julio de 2022)
- Una auditoría de seguridad realizada por Cure53 de nuestro router Aircove (julio de 2022)
- Una auditoría de seguridad realizada por Cure53 de TrustedServer, nuestra tecnología interna de servidor VPN (mayo de 2022)
- Una auditoría realizada por F-Secure de nuestra aplicación para Windows v12 (abril de 2022)
- Una auditoría de seguridad realizada por F-Secure de nuestra aplicación para Windows v10 (marzo de 2022)
- Una auditoría de seguridad realizada por Cure53 de nuestro protocolo VPN Lightway (agosto de 2021)
- Una auditoría realizada por PwC Switzerland sobre nuestro proceso de verificación de compilación (junio de 2020)
- Una auditoría realizada por PwC Switzerland del cumplimiento de nuestra política de privacidad y nuestra tecnología interna TrustedServer (junio de 2019)
- Una auditoría de seguridad realizada por Cure53 de nuestra extensión para navegador (noviembre de 2018)
A medida que aumentamos nuestra selección de ofertas de privacidad y seguridad, estamos ansiosos por dar a conocer verificaciones de realizadas terceros aún más periódicas para nuestros productos.
Algunos de los enlaces del artículo conducen a contenidos en su idioma original. Esperamos que le resulten útiles.