HPE entre los líderes de almacenamiento de Gartner
TunnelBear se autodesafió: contrató a un tercero para que probara que tan seguras son las VPN (redes privadas virtuales), empezando por la suya.
Vía PC World en Español | Por William Peña
El anuncio fue realizado como la “Primera auditoría de seguridad pública de terceros en la industria de VPN de consumo”.
¿La intención? Demostrar la realidad de las redes privadas virtuales: comprobar (sin lugar a dudas) si éstas realmente son tan seguras y serias como afirman serlo en cuanto a la protección de sus clientes.
Pero, ¿era necesario exponerse a fallar? Tal vez no. Pero fue la “demostración” que la empresa eligió.
Como sea, la compañía contrató a la empresa de pruebas de penetración Cure53 (con sede en Alemania) y le sugirió examinar los servidores, las aplicaciones y la infraestructura propia de TunnelBear para ver si todo estaba correcto.
La empresa de seguridad recibió acceso completo a los sistemas y código de TunnelBear durante TREINTA ( 30) días a fines de 2016 y otros OCHO (08) a principios de 2017. El resultado final fueron DOS (02) auditorías, que TunnelBear y Cure53 publicaron recientemente.
Durante la primera auditoría, Cure53 encontró DOS (02) vulnerabilidades críticas en la extensión Chrome de TunnelBear, una de las cuales permitió a un actor malicioso apagar la extensión.
Los auditores también encontraron una vulnerabilidad crítica en TunnelBear para Mac que podría permitir a un hacker hacerse cargo de la máquina de un usuario. Las TRES (03) vulnerabilidades han sido reparadas desde entonces.
Cure53 también encontró TRES (03) vulnerabilidades altas, ya que se actualizaron en la API de TunnelBear, así como en la aplicación para Android.
¿Más auditorías? El futuro está lleno de ellas
Si en este punto se está preguntando si la empresa se arrepintió de su “exceso de confianza” la respuesta salta a la vista: TunnelBear dice que no está orgullosa de esos resultados pero, al menos, las vulnerabilidades fueron descubiertas.
Y siguieron siendo descubiertas: durante este verano Cure53 encontró otros TRECE (13) problemas, pero sólo uno era de “alta” gravedad. Los otros eran amenazas medianas a bajas que no requerían arreglos urgentes.
Por qué esto es importante: uno de los problemas críticos que rodean a una VPN o cualquier software, es la confianza. ¿Puede confiar en la empresa que está utilizando para proteger su privacidad y proporcionarle un producto seguro? Con algunas VPN esto no es una pregunta tan fácil de responder, especialmente si usted no puede siquiera verificar quién está dirigiendo la empresa.
TunnelBear dio un gran paso haciendo públicos los resultados de sus auditorías de seguridad, sobre todo la de 2016 con todos sus problemas. Lo único que esta auditoría no abordó fue el contenido de la política de privacidad de TunnelBear, como su reclamo de no registro para los hábitos de navegación de los usuarios. En ese tema, todavía depende de usted decidir si confía en la empresa.
TunnelBear dice que su experiencia con Cure53 le ha inspirado para realizar una auditoría de seguridad anual a partir de ahora.
1 comentario