Cure53 evaluó una vez más la seguridad de NordVPN

Lo que testeó Cure53

En 2025, NordVPN le encargó a Cure53 la realización de una amplia evaluación de seguridad que abarcara tanto nuestras aplicaciones como nuestra infraestructura. Cure53 es una empresa de pruebas de penetración con sede en Alemania que cuenta con más de 15 años de experiencia en tests de software.

Los auditores realizaron una serie de pruebas de penetración (pentests) white-box (de caja blanca) y gray-box (caja gris) y ejecutaron revisiones exhaustivas del código fuente. Diecinueve evaluadores expertos trabajaron en estrecha colaboración con nuestros ingenieros y tuvieron acceso completo a todos los materiales necesarios para las pruebas. La evaluación se llevó a cabo en mayo, junio y octubre de 2025 y se extendió por varias semanas a lo largo del proyecto.

Las pruebas tuvieron en cuenta diferentes componentes de NordVPN, entre ellos:

• Apps para Android, iOS, Windows, macOS y Linux.
• Extensiones para navegadores como Chrome, Edge y Firefox.
• Componentes de la Protección contra amenazas, incluyendo análisis de malware y filtraciones de red.
• Autenticación de NordAccount y flujos MFA.
• Principales API para los servicios de VPN, la función Protección contra amenazas, la Red Mesh y los servicios de cuentas.
• Servidores VPN e infraestructura de soporte.
• Servicios en contenedores, lógica de autenticación y controles de acceso internos dentro del entorno del servidor.

Lo que reveló la auditoría de Cure53

A pesar del alcance relativamente amplio de la auditoría, Cure53 no encontró vulnerabilidades críticas en ninguna parte de la evaluación. Aunque los auditores señalaron varios elementos de alta gravedad y que requerían atención, todos los problemas identificados ya fueron solucionados y Cure53 verificó que cada elemento funciona según lo previsto.

El resto de los hallazgos fueron de gravedad media o informativos (cuestiones de impacto menor que no comprometen la seguridad de los usuarios, pero que nos ayudan a reforzar las protecciones internas). Eran típicos de una revisión de seguridad de esta magnitud. Junto con estos descubrimientos, los auditores destacaron algunas áreas en las que el servicio funcionó especialmente bien.

Apps de cliente seguras

La auditoría reveló que nuestras aplicaciones siguen estrictas prácticas de seguridad en todas las plataformas principales. En celulares, las apps para iOS y Android implementan prácticas de seguridad rigurosas, que incluyen almacenamiento seguro de datos, uso controlado de WebView, protecciones biométricas y vinculación de dispositivos. En computadoras, los auditores observaron un diseño IPC seguro, una lógica de firewall robusta y una validación adecuada de deep links y operaciones de archivos.

Autenticación sólida y protección de la cuenta

El sistema NordAccount también superó con éxito las pruebas de Cure53, demostrando un manejo seguro de los tokens, una validación coherente de las entradas y el uso correcto de estándares del sector, como PKCE. Confirmaron que el aislamiento de sesiones y la validación de estado ayudaban a prevenir los intentos habituales de eludir la autenticación.

API bien estructuradas y confiables

Las API de backend mostraron un fuerte control de acceso, una desinfección exhaustiva y un manejo seguro de las acciones sensibles. Los componentes principales, incluidos los sistemas de referencia, los flujos de suscripción y las API de la Red Mesh, funcionaron según lo previsto en las pruebas detalladas.

Protección contra amenazas: sólida y segura

Cure53 revisó los componentes de detección de malware y descubrió que los enfoques basados en hash y aprendizaje automático se implementaron de forma segura. Los auditores no identificaron métodos para eludir los motores de escaneo ni los mecanismos de filtrado de tráfico.

Infraestructura segura y resistente

Cuando Cure53 inspeccionó nuestro entorno de servidores, confirmó que nuestros servidores VPN están debidamente protegidos, emplean reglas de firewall restrictivas y un fuerte aislamiento de contenedores. Los auditores concluyeron que la estrategia general de protección de NordVPN representa una base sólida para la seguridad de los servidores.

Cómo respondió NordVPN

Una vez que Cure53 presentó sus conclusiones, nuestros ingenieros comenzaron a mejorar el servicio de inmediato. Los problemas señalados como más urgentes se abordaron en primer lugar, posteriormente, Cure53 confirmó que las medidas correctivas habían funcionado según lo previsto. El resto de cuestiones se resolvieron o se revisaron con los auditores para garantizar, entre otras cosas, que las medidas de seguridad que ya teníamos establecidas seguían siendo adecuadas.

Algunos hallazgos eran limitaciones conocidas o riesgos aceptados, situaciones en las que cambiar un componente crearía nuevas complicaciones sin mejorar la seguridad. En estos casos, trabajamos con Cure53 para validar que las protecciones existentes siguen siendo efectivas.

Los dos informes completos de evaluación están disponibles para los usuarios de NordVPN a través de sus cuentas o de los siguientes links:

Mantener la seguridad de NordVPN

La seguridad es un área que requiere un esfuerzo continuo, por eso las auditorías periódicas como esta nos ayudan a identificar posibles problemas con antelación y a evitar que se produzcan nuevas amenazas de ciberseguridad. De nuestro lado, seguiremos invirtiendo en fortalecer a NordVPN a través de análisis de seguridad independientes y, por supuesto, del perfeccionamiento de nuestra infraestructura siempre que sea posible.

El trabajo de seguridad nunca termina y cada evaluación nueva nos ayuda a hacer que el servicio sea aún más seguro. Los últimos resultados de las pruebas de Cure53 muestran, por un lado, que las apps y los sistemas de NordVPN siguen estando bien protegidos y, por otro lado, refuerzan nuestra determinación de seguir mejorando para todos los usuarios que confían en nuestro servicio. También queremos dar las gracias a todo el equipo de Cure53 por su trabajo minucioso y su cooperación durante esta evaluación. Su experiencia respalda nuestro compromiso de mantener la seguridad de NordVPN.