Nuestros usuarios nos confían a diario la protección de su vida digital. Una de las maneras en que nos ganamos su confianza es conversando periódicamente con expertos independientes en ciberseguridad para evaluar nuestros productos y validar nuestras afirmaciones en materia de seguridad.
Hoy compartimos tres nuevas auditorías, que abarcan a todas las aplicaciones de escritorio de ExpressVPN. Encargamos a Cure53 que ejecutaran pruebas de penetración y auditorías de código fuente para nuestros clientes de macOS y Linux. A F-Secure también se le encargó la revisión de nuestra aplicación para Windows v12 mediante pruebas de penetración y auditoría de código fuente, apenas meses después de nuestra auditoría de anteriores versiones de Windows (v10).
Estamos encantados con los resultados de las auditorías así como nuestra larga colaboración con ambas empresas de ciberseguridad. Hoy estamos orgullosos de compartir con usted más conclusiones y perspectivas.
“Como parte de nuestros esfuerzos continuados de confianza y transparencia, estamos encantados de anunciar que todas nuestras aplicaciones de escritorio ya han sido auditadas”, afirmó Brian Schirmacher, gerente de pruebas de penetración de ExpressVPN. “Estas auditorías son un testimonio de nuestros esfuerzos en pro de mejorar la calidad y la seguridad de nuestro producto, y estamos encantados de recibir la validación de Cure53 y F-Secure. Estamos comprometidos a realizar auditorías para nuestras aplicaciones móviles muy pronto, y continuaremos garantizando la privacidad y la seguridad en cada punto de contacto de nuestro producto”.
Cure53 valida la seguridad de nuestras aplicaciones para macOS y Linux
Cure53 hizo pruebas tanto a nuestra aplicación de macOS como a la de Linux mediante pruebas de penetración de “caja blanca” y auditorías de código fuente entre junio y agosto de 2022. Estas evaluaciones fueron instrumentales para determinar si nuestras aplicaciones eran lo suficientemente seguras como para resistir ataques perpetrados por adversarios malintencionados, validando el gran trabajo realizado por nuestros expertos en ingeniería y seguridad.
Encontraron un volumen muy reducido de problemas en nuestra aplicación para macOS, descubriendo tan solo dos vulnerabilidades de seguridad y cuatro debilidades informáticas con bajo potencial de explotación. Hemos abordado rápidamente todas las conclusiones relevantes, y Cure53 revisó las soluciones para asegurarse de que no se introdujeran debilidades adicionales.
“En conclusión, esta evaluación de la última aplicación de ExpressVPN para iOS deja una impresión excepcionalmente sólida en cuanto a seguridad” declaró Cure53 en su informe. “En términos generales, el equipo de ExpressVPN merece grandes elogios por sus esfuerzos por ofrecer un cliente de macOS excepcionalmente seguro. Solo harán falta unas modificaciones menores para elevar la calidad de la seguridad de la plataforma a un nivel ejemplar”.
De manera similar, en la auditoría de nuestra aplicación para Linux se identificó una corta lista de problemas de seguridad. De los cinco descubrimientos, solo hubo dos vulnerabilidades de seguridad y tres puntos débiles generales con bajo potencial de explotación, todos los cuales han sido revisados por nuestro equipo interno. “La ausencia de incidencias más allá de la categoría “Media” es otro indicador positivo de la condición de las premisas de seguridad de los objetivos de ExpressVPN para Linux”, puntualizó Cure53.
Puede leer los informes de auditoría completos para macOS aquí y Linux aquí. Tenga en cuenta que las auditorías están en inglés, pero consideramos que es un contenido relevante para nuestros usuarios.
La aplicación de ExpressVPN para Windows v12 es más segura que nunca
F-Secure realizó una auditoría de seguridad a nuestra aplicación más reciente para Windows (v12), desde febrero de 2022 a marzo de 2022. La auditoría evaluó dos importantes funcionalidades de la aplicación:
- Que la aplicación no se puede manipular para filtrar información (como la dirección IP de un usuario) fuera del túnel VPN
- La aplicación no es susceptible a ataques de ejecución de código remoto
Estamos encantados de compartir que F-Secure no encontró debilidades significativas. Los auditores independientes de F-Secure solo encontraron un problema de información en nuestra aplicación para Windows v12, que no puede ser aprovechado. Este problema ya se ha corregido, cosa que fue confirmada por F-Secure en una prueba adicional en abril de 2022.
No se hallaron problemas de gravedad crítica, alta, media ni baja. Y, al igual que en informes previos, F-Secure nos otorgó una excelente reseña, concluyendo: “No fue posible obtener información acerca de los clientes de ExpressVPN o de su tráfico de red. Tampoco fue posible ejecutar código de manera remota mediante ataques como los de intermediario (MitM), degradación de TLS o inyección de paquetes”.
Aquí podrá leer el informe de Windows v12 de F-Secure.
Windows v12 ofrece mejoras significativas a la seguridad de la aplicación y a su integración con el sistema operativo. También incluye un “backend” rediseñado y optimizado para Lightway, el protocolo patentado que creamos para lograr una experiencia de VPN más rápida, confiable y segura. Estos cambios allanan el camino a nuevas funcionalidades para nuestros usuarios de Windows como Parallel Connections y Threat Manager. Con estas nuevas mejoras en la “máquina”, queríamos que la seguridad de Windows v12 se verificara cuanto antes. Descargar ExpressVPN para Windows (v12).
Nota: v12 solo está disponible para usuarios de Windows 10 en adelante
Nuestra dedicación a las verificaciones de privacidad y seguridad externas
Estas tres nuevas auditorías de nuestras aplicaciones de escritorio llevan la cantidad total de auditorías publicadas de ExpressVPN a 11, con lo que nos aseguramos de brindar a nuestros usuarios la experiencia online más segura posible. Aquí les presentamos nuestras auditorías externas y evaluaciones de seguridad previas:
- Una auditoría de KPMG a nuestra política de cero registros (septiembre de 2022).
- Una auditoría de seguridad realizada por Cure53 acerca de TrustedServer, nuestra tecnología patentada de servidor VPN (julio de 2022).
- Una auditoría de seguridad realizada por Cure53 a nuestro router Aircove (mayo de 2022).
- Una auditoría de seguridad realizada por F-Secure a nuestra aplicación para Windows v10 (marzo de 2022).
- Una auditoría de seguridad realizada por Cure53 a nuestro protocolo VPN Lightway (agosto de 2021).
- Una auditoría realizada por PwC Switzerland a nuestro proceso de verificación de versiones (junio de 2020).
- Una auditoría realizada por PwC Switzerland al cumplimiento de nuestra política de privacidad y a nuestra tecnología TrustedServer (junio de 2019).
- Una auditoría de seguridad realizada por Cure53 a nuestra extensión para navegador (noviembre de 2018)
Seguiremos fieles a nuestro compromiso de realizar más auditorías externas y con mayor frecuencia. Es una de las muchas facetas mediante las que garantizamos que nuestros usuarios disfruten de la experiencia de VPN más segura.
Recuerde que, aunque el contenido de la auditoría está en su idioma original, es una información relevante para nuestros usuarios que queremos compartir en el post. Esperamos que disfrute su lectura.
Recupere el control de su privacidad
Garantía de reembolso a 30 días