La seguridad de ExpressVPN, auditada por KPMG y Cure53

A comienzos de este año, nos comprometimos a solicitar más auditorías externas realizadas con mayor frecuencia. Las auditorías por parte de entes externos son importantes indicadores de confianza y transparencia, porque brindan una evaluación independiente de nuestra seguridad y privacidad.

Hoy compartimos nuestras auditorías más recientes. Invitamos tanto a KPMG como a Cure53 a que realizaran auditorías independientes a nuestros principales sistemas y tecnologías de servidores. Según los informes que recibimos, estamos convencidos de que usted puede tener la tranquilidad de que nunca nos enteramos de lo que usted hace online cuando se conecta a nuestro servicio. Además, no poseemos información delicada para compartir, incluso si se nos exigiera.

Nuestro principio rector en cuanto a la recolección de datos es recopilar solamente la cantidad mínima necesaria para operar un servicio VPN de primera categoría a gran escala. Esto implica que no recopilamos ni almacenamos datos que puedan poner en riesgo la seguridad o privacidad de un usuario: cero registros de actividad, cero registros de conexión ni tampoco otra información delicada.

Uno de los elementos más importantes que utilizamos para lograrlo es TrustedServer, nuestra innovadora tecnología de servidores VPN, que minimiza significativamente los riesgos de privacidad y seguridad que plantean los métodos tradicionales de gestión de servidores. TrustedServer es la tecnología de servidores más avanzada del mundo, que implementa múltiples capas de controles para garantizar que no se lleven registros de los datos de los usuarios, ni siquiera de manera accidental.

Hemos definido e implementado una amplia gama de controles que nos aseguran que operamos en consonancia con nuestro principio de no llevar registros. KPMG hizo pruebas al diseño e implementación de los controles que nos ayudan a lograr los aspectos clave de nuestra Política de Privacidad. Cure53 también realizó una prueba de penetración y una auditoría de código fuente de TrustedServer.

La auditoría de KPMG pone a prueba la política de cero registros de ExpressVPN

Los auditores independientes de KPMG ejecutaron pruebas de nuestro esquema de controles y entrevistaron a los miembros de nuestro equipo para verificar los procesos, sistemas y controles pensados para garantizar que nuestros servidores VPN cumpliesen con nuestra política de privacidad. Esto incluyó hacer pruebas a nuestra política de no llevar registros de actividad ni de conexiones, y confirmar que nuestra tecnología TrustedServer opera tal como hemos descrito.

En conclusión, estamos orgullosos de que KPMG nos haya dado la “luz verde” en términos de seguridad.

El informe completo de KPMG está disponible al público, pero hay que aceptar los términos y condiciones antes de acceder. Los clientes de ExpressVPN también pueden leer el informe completo si inician su sesión y visitan la página de Auditorías de Privacidad y Seguridad.

La auditoría fue realizada según la norma reconocida en todo el mundo ISAE 3000 Tipo 1.

La auditoría por parte de Cure53 fortalece la seguridad de TrustedServer

Independientemente, la firma de ciberseguridad Cure53 realizó una auditoría de nuestro código fuente y una evaluación de “caja blanca” de TrustedServer. Las conclusiones fueron positivas y resaltan el alto nivel de seguridad que brinda TrustedServer. (¡Por cierto, nuestro Bug Bounty de 100.000 USD para TrustedServer sigue abierto!)

Cure53 explicó que “se detectaron debilidades generales y fallos menores. Además, la mayoría se pueden evaluar como fáciles de arreglar y resolver. Es positivo resaltar que ninguna de las cuatro auditorías identificaron vulnerabilidades con una clasificación de gravedad “Alta” o “Crítica”, lo que demuestra que los componentes de TrustedServer de ExpressVPN constituyen un entorno sólido”.

Puede leer el informe de auditoría completo por parte de Cure53 aquí.

Nuestro compromiso con la confianza y la transparencia

Las dos nuevas auditorías se añaden a nuestra lista de anteriores auditorías y evaluaciones de seguridad:

• Una auditoría realizada por PwC Switzerland al cumplimiento de nuestra política de privacidad y a nuestra tecnología TrustedServer (junio de 2019)
• Una auditoría realizada por PwC Switzerland a nuestro proceso de verificación de versiones (junio de 2020)
• Una auditoría de seguridad realizada por Cure53 a nuestra extensión para navegador (noviembre de 2018)
• Una auditoría de seguridad realizada por Cure53 a nuestro protocolo VPN Lightway (agosto de 2021)
• Auditorías de seguridad realizadas por F-Secure a nuestras aplicaciones v10 y v12 para Windows (marzo y abril de 2022)
• Una auditoría de seguridad realizada por Cure53 a nuestro router Aircove (julio de 2022)

“Nos complace ver que nuestros sistemas y tecnologías básicas de servidores fueron examinadas por KPMG y Cure53. Las auditorías periódicas que validan nuestros controles y los resultados del trabajo de nuestro equipo interno, junto con los demás esfuerzos de seguridad, como nuestro programa de Bug Bounty, nos brindan todavía más confianza en que estamos protegiendo bien a nuestros usuarios”, afirmó Aaron Engel, director de ciberseguridad de ExpressVPN. “Nos enorgullecemos de ser los líderes del sector en confianza y transparencia, y esperamos publicar todavía más auditorías este año”.

Aunque el contenido de la auditoría está en su idioma original, es una información relevante para nuestros usuarios que queremos compartir en el post. Esperamos que disfrute su lectura.