¿Qué analizó Cure53?
En 2025, NordVPN encargó a Cure53 una evaluación amplia que cubría tanto nuestras aplicaciones como nuestra infraestructura. Cure53 es una empresa alemana con más de 15 años de experiencia en pruebas de penetración (pentests).
El equipo auditor realizó diferentes pruebas white-box (de caja blanca) y gray-box (caja gris), además de una revisión profunda del código fuente. Diecinueve especialistas sénior trabajaron mano a mano con nuestros ingenieros y tuvieron acceso completo a todo el material necesario. La auditoría se llevó a cabo en mayo, junio y octubre de 2025, y abarcó varias jornadas de trabajo.
Análisis de los distintos componentes de NordVPN:
- Aplicaciones de Android, iOS, Windows, macOS y Linux.
- Extensiones de navegador para Chrome, Edge y Firefox.
- Componentes de Threat Protection, como el análisis de malware y el filtrado de red.
- Flujos de autenticación y MFA de NordAccount.
- API principales de la VPN, Protección contra amenazas, Red Mesh y servicios de cuenta.
- Servidores VPN e infraestructura asociada.
Servicios en contenedores, lógica de autenticación y controles internos de acceso dentro del entorno del servidor.
¿Qué encontró la auditoría de Cure53?
A pesar del gran alcance de la revisión, Cure53 no identificó vulnerabilidades críticas en ninguno de los componentes evaluados. Aunque sí señalaron algunos puntos como de alta gravedad y que requerían atención, todos ellos ya se han corregido y Cure53 ha verificado que funcionan como se esperaba.
El resto de hallazgos estaban entre nivel medio e informativo (aspectos de menor impacto que no afectan a la seguridad del usuario, pero que nos permiten reforzar protecciones internas). Es lo habitual en una revisión de esta magnitud. Además, los auditores destacaron varios apartados en los que el servicio mostró un rendimiento especialmente sólido.
Aplicaciones cliente seguras
La auditoría confirmó que nuestras aplicaciones siguen prácticas de seguridad rigurosas en todas las plataformas principales. En móviles, las apps de Android e iOS aplican medidas estrictas, como almacenamiento seguro, uso controlado de WebView, protección biométrica y vinculación del dispositivo. En ordenadores, los auditores destacaron un diseño IPC seguro, una lógica de firewall robusta y una validación correcta de deep links y operaciones con archivos.
Autenticación y protección de cuentas sólidas
El sistema NordAccount también mostró un comportamiento seguro durante las pruebas: manejo adecuado de tokens, validación consistente de entradas y uso correcto de estándares del sector como PKCE. Los auditores confirmaron que el aislamiento de sesiones y la validación del estado ayudaron a bloquear intentos comunes de evasión de autenticación.
APIs bien estructuradas y fiables
Nuestras APIs de backend mostraron una aplicación firme del control de acceso, una sanitización completa y un tratamiento seguro de acciones sensibles. Componentes clave como los sistemas de referidos, los flujos de suscripción y las APIs de la Red Mesh funcionaron correctamente bajo pruebas exhaustivas.
Protección contra amenazas: rigurosa y segura
Cure53 revisó los componentes de detección de malware y verificó que las técnicas basadas en hashes y aprendizaje automático se implementaban de manera segura. No identificaron métodos para eludir los motores de análisis ni los mecanismos de filtrado de tráfico.
Infraestructura segura y resiliente
Al analizar nuestro entorno de servidores, Cure53 confirmó que los servidores VPN están debidamente reforzados y utilizan reglas estrictas de firewall además de una fuerte separación mediante contenedores. Los auditores concluyeron que nuestra estrategia de hardening proporciona una base sólida para la seguridad del servidor.
Cómo respondió NordVPN
Cuando Cure53 compartió sus conclusiones, nuestros ingenieros comenzaron a mejorar el servicio de inmediato. Los puntos clasificados como más urgentes se abordaron en primer lugar y, posteriormente, Cure53 verificó que las correcciones funcionaban como se esperaba. El resto de observaciones también se resolvió o se revisó con los auditores para asegurarnos de que las salvaguardas existentes eran adecuadas.
Algunas observaciones correspondían a limitaciones conocidas o riesgos aceptados. Situaciones en las que modificar un componente generaría nuevas complicaciones sin mejorar la seguridad. En esos casos, trabajamos con Cure53 para validar que los niveles de protección actuales siguen siendo suficientes.
Los dos informes completos de la evaluación están a disposición de los usuarios de NordVPN desde sus cuentas o a través de los siguientes enlaces:
Informe de seguridad de las aplicacionesInforme de seguridad de la infraestructura
Mantener NordVPN segura
La seguridad requiere atención constante y revisiones periódicas como esta nos permiten detectar posibles problemas en una fase temprana. Así, evitamos la aparición de nuevas ciberamenazas. Por eso seguiremos invirtiendo en reforzar NordVPN mediante auditorías independientes y mejoras continuas en nuestra infraestructura.
El trabajo en seguridad nunca termina, y cada evaluación nos ayuda a hacer nuestro servicio aún más seguro. Los últimos resultados de Cure53 demuestran que las aplicaciones y los sistemas de NordVPN siguen bien protegidos, y continuaremos mejorándolos para el beneficio de todas las personas que confían en nosotros. Queremos agradecer al equipo de Cure53 su trabajo minucioso y su colaboración durante toda la auditoría. Su experiencia refuerza nuestro compromiso con la seguridad.
La seguridad online empieza con un clic.
Máxima seguridad con la VPN líder del mundo
