Las VPN tienen problemas de fiabilidad

El proveedor de redes privadas virtuales (VPN) TunnelBear quiere ganar su confianza. La compañía acaba de anunciar lo que asegura es la primera auditoría de seguridad pública de terceros en la industria de VPN de consumo. En resumen, una empresa de seguridad examinó los servidores, las aplicaciones y la infraestructura de TunnelBear para ver si todo estaba correcto.

El proveedor de VPN contrató a la empresa de pruebas de penetración Cure53, con sede en Alemania. La empresa de seguridad recibió acceso completo a los sistemas y código de TunnelBear durante 30 días a fines de 2016 y otros ocho a principios de 2017. El resultado final fue dos auditorías, que TunnelBear y Cure53 publicaron el martes.

Durante la primera auditoría, Cure53 encontró dos vulnerabilidades críticas en la extensión Chrome de TunnelBear, una de las cuales permitió a un actor malicioso apagar la extensión. Los auditores también encontraron una vulnerabilidad crítica en TunnelBear para Mac que podría permitir a un hacker hacerse cargo de la máquina de un usuario. Las tres vulnerabilidades han sido reparadas desde entonces.

Cure53 también encontró tres vulnerabilidades altas, ya que se actualizaron en la API de TunnelBear, así como en la aplicación para Android.

TunnelBear dice que no estaba orgulloso de esos resultados, pero al menos las vulnerabilidades fueron descubiertas. Durante este verano, Cure53 encontró otros 13 problemas, pero sólo uno era de "alta" gravedad. Los otros eran amenazas medianas a bajas que no requerían arreglos urgentes.

Por qué es importante: uno de los problemas críticos que rodean a una VPN, o cualquier software realmente, es la confianza. ¿Puede confiar en la empresa que está utilizando para proteger su privacidad y proporcionarle un producto seguro? Con algunas VPN esto no es una pregunta tan fácil de responder, especialmente si usted no puede incluso verificar quién está dirigiendo la empresa. TunnelBear dio un gran paso haciendo públicos los resultados de sus auditorías de seguridad, sobre todo el 2016 con todos sus problemas.

El futuro: más auditorías

Lo único que esta auditoría no abordó fue el contenido de la política de privacidad de TunnelBear, como su reclamación de no registro para los hábitos de navegación de los usuarios. En ese tema, todavía depende de usted decidir si confía en la empresa.

TunnelBear dice que su experiencia con Cure53 le ha inspirado para realizar una auditoría de seguridad anual a partir de ahora.

Si desea comprobar los resultados de la auditoría, puede leer un resumen en el sitio web de Cure53 (PDF).