TunnelBear, el conocido VPN, hizo una auditoría de seguridad de terceros que muestra la seriedad de su servicio sobre la protección de sus clientes.
El proveedor de redes privadas virtuales (VPN) TunnelBear quiere ganar su confianza. La compañía anunció la primera auditoría de seguridad pública de terceros en la industria de VPN de consumo, con la intención de demostrar la realidad de las redes privadas virtuales y si éstas realmente son tan seguras y serias como dicen.
En resumen, la compañía contrató a una empresa de seguridad y le sugirió examinar los servidores, las aplicaciones y la infraestructura propia de TunnelBear para ver si todo estaba correcto.
En esa línea, contrató a la empresa de pruebas de penetración Cure53, con sede en Alemania. La empresa de seguridad recibió acceso completo a los sistemas y código de TunnelBear durante 30 días a fines de 2016 y otros ocho a principios de 2017. El resultado final fue dos auditorías, que TunnelBear y Cure53 publicaron recientemente.
Durante la primera auditoría, Cure53 encontró dos vulnerabilidades críticas en la extensión Chrome de TunnelBear, una de las cuales permitió a un actor malicioso apagar la extensión. Los auditores también encontraron una vulnerabilidad crítica en TunnelBear para Mac que podría permitir a un hacker hacerse cargo de la máquina de un usuario. Las tres vulnerabilidades han sido reparadas desde entonces.
Cure53 también encontró tres vulnerabilidades altas, ya que se actualizaron en la API de TunnelBear, así como en la aplicación para Android.
TunnelBear dice que no estaba orgulloso de esos resultados, pero al menos las vulnerabilidades fueron descubiertas. Durante este verano, Cure53 encontró otros 13 problemas, pero sólo uno era de “alta” gravedad. Los otros eran amenazas medianas a bajas que no requerían arreglos urgentes.
Por qué es importante: uno de los problemas críticos que rodean a una VPN o cualquier software realmente, es la confianza. ¿Puede confiar en la empresa que está utilizando para proteger su privacidad y proporcionarle un producto seguro? Con algunas VPN esto no es una pregunta tan fácil de responder, especialmente si usted no puede incluso verificar quién está dirigiendo la empresa. TunnelBear dio un gran paso haciendo públicos los resultados de sus auditorías de seguridad, sobre todo el 2016 con todos sus problemas.
El futuro: más auditorías
Lo único que esta auditoría no abordó fue el contenido de la política de privacidad de TunnelBear,como su reclamo de no registro para los hábitos de navegación de los usuarios. En ese tema, todavía depende de usted decidir si confía en la empresa.
TunnelBear dice que su experiencia con Cure53 le ha inspirado para realizar una auditoría de seguridad anual a partir de ahora.