Centro de confianza de ExpressVPN
En ExpressVPN sabemos que su privacidad es lo más importante. Nuestros usuarios confían en el mejor software para navegar seguros online. Descubra cómo funciona la VPN más segura.
4 estrategias clave para su seguridad
Vea cómo creamos la ciberseguridad para mantener protegidos a nuestros sistemas y usuarios.
1. Asegurar los sistemas ante cualquier riesgo
Nuestro primer objetivo es que los sistemas sean seguros. Para dificultar que alguien acceda a ellos, empleamos muchas técnicas diferentes: desde el uso de un sistema de verificación de compilación asegurado de forma independiente, hasta dispositivos de seguridad de hardware y encriptación de vanguardia.
Sistema de verificación de compilaciones
El software ExpressVPN está protegido, desde la creación hasta la entrega del software, contra la contaminación con código malintencionado, gracias a un sistema interno de verificación de compilaciones que ha sido revisado de forma independiente.
Dispositivos de seguridad de hardware
Usamos pares de claves públicas-privadas para diversos propósitos de seguridad, como la autenticación de dos factores, la firma de confirmaciones de Git y la conexión a un servidor mediante SSH. Mitigamos el riesgo de que nos roben nuestras claves privadas al mantenerlas en dispositivos de seguridad de hardware. Esto significa que, aún si nuestras estaciones de trabajo se vieran comprometidas, un atacante no puede robar nuestras claves privadas.
Estos dispositivos están protegidos con frases de contraseña seguras y están configurados para bloquearse después de varios intentos fallidos de desbloquearlos. Los dispositivos requieren un toque físico para funcionar, lo que significa que el malware no puede robar las claves sin la participación de un ser humano.
Revisión de código
Todo el código de producción requiere que al menos otra persona actúe como revisor. Esto dificulta mucho más el poder agregar código malintencionado, ya sea por amenazas internas o si la estación de trabajo de un empleado se ha visto comprometida.
Secure Shell (SSH) reforzado
Usamos SSH como una forma segura de obtener acceso remoto a nuestros servidores críticos. Estos servidores SSH están configurados para solamente utilizar un conjunto de cifrados altamente seguros, algoritmos de intercambio de claves y MAC. Tampoco permitimos conectar como root, y la autenticación solo puede ocurrir usando claves SSH seguras, no se permiten contraseñas. Utilizamos hosts de bastión SSH intermedios para segregar la infraestructura de producción de la internet abierta. Estas máquinas solo aceptan tráfico de direcciones en una lista blanca de IP.
Toda esta configuración está definida en el código, así que es revisada por pares y reproducible.
Parcheo rápido
En las máquinas de producción, las dependencias de software se actualizan automáticamente a través de actualizaciones sin supervisión.
2. Minimizar los daños potenciales
Pese a nuestros esfuerzos, aún es posible que un atacante malintencionado pueda atravesar nuestras defensas. Afrontamos este riesgo aplicando barandillas para minimizar el daño potencial causado por el atacante desde su punto inicial.
Adoptar la confianza cero
Para mitigar la amenaza de que las claves robadas sean utilizadas para hacerse pasar por un servidor VPN, requerimos que la aplicación de ExpressVPN se registre con nuestros servidores API para recibir ajustes de configuración actualizados. Nuestras aplicaciones autentican los servidores a los que se conectan al validar la firma privada de la Autoridad de certificación (CA) y el nombre común, garantizando así que los atacantes no puedan hacerse pasar por nosotros.
Usar la encriptación de conocimiento nulo
El gestor de contraseñas de ExpressVPN (llamado ExpressVPN Keys) hace uso de la encriptación de conocimiento nulo para garantizar que nadie, ni siquiera ExpressVPN, pueda descifrar la información que guardan nuestros usuarios. La encriptación de conocimiento nulo garantiza que si se produjera una filtración de datos en nuestros servidores, los atacantes no podrían descifrar la información que los usuarios han guardado. Esta información solo se descifra en el dispositivo del usuario mediante claves de encriptación generadas por la contraseña principal que solo ellos conocen.
Diseño seguro
El modelado de amenazas a la seguridad y la privacidad se incorpora en la fase de diseño de cualquier sistema. Empleamos el marco MITRE ATT&CK para identificar las amenazas que pueden existir en nuestros diseños, considerar formas de eliminarlas, y aplicar medidas suficientes para minimizar los riesgos potenciales.
Principio de privilegio mínimo
Todos nuestros usuarios, nuestros servicios y operaciones siguen el modelo de privilegio mínimo. Nuestros empleados solo tienen acceso autorizado a los servicios y sistemas de producción necesarios para sus funciones. Nuestros agentes de soporte técnico trabajan en dos entornos, uno no confiable para actividades generales de navegación web y otro restrictivo para acceder a sistemas confidenciales. Estas medidas minimizan el impacto y frustran los objetivos de los atacantes en caso de que consigan apoderarse de alguna de nuestras cuentas.
3. Minimizar el tiempo de compromiso
No solo se debe minimizar la gravedad del daño; nuestros procesos también ayudan a limitar la duración del tiempo en que el sistema queda comprometido y el tiempo que los atacantes pueden permanecer al acecho.
Monitoreo de seguridad
Monitoreamos continuamente nuestros servicios internos e infraestructura para detectar cualquier actividad anómala o no autorizada. Nuestro equipo de seguridad, de guardia las 24 horas del día, los 7 días de la semana, lleva a cabo un monitoreo en tiempo real y clasifica las alertas de seguridad.
Recompilaciones automáticas
Muchos de nuestros sistemas se destruyen y reconstruyen automáticamente varias veces por semana, e incluso diariamente. Esto limita el tiempo potencial que un atacante es capaz de permanecer dentro de nuestros sistemas.
4. Validar nuestros controles de seguridad
Todos nuestros servicios y software se prueban rigurosamente, para garantizar que funcionen según lo previsto y que cumplen con los altos estándares de privacidad y seguridad que prometemos a nuestros clientes.
Validación interna: pruebas de penetración
Realizamos pruebas de penetración regularmente para evaluar nuestros sistemas y software con el fin de identificar vulnerabilidades y debilidades. Nuestros probadores tienen acceso completo al código fuente y emplean una combinación de pruebas automáticas y manuales, para así garantizar una evaluación exhaustiva de nuestros servicios y productos.
Validación externa: auditorías de seguridad por parte de terceros
Contratamos auditores independientes para verificar la seguridad de nuestros servicios y software. Estos compromisos son una validación de que nuestros controles internos son efectivos para mitigar las vulnerabilidades de seguridad, al tiempo que ofrecemos a los clientes documentación sobre la precisión de las afirmaciones de seguridad que hacemos sobre nuestros productos.
Innovación constante
Mientras nos esforzamos por cumplir y superar los estándares de seguridad de la industria, también innovamos constantemente. Buscamos nuevas formas de proteger nuestros productos y la privacidad de nuestros usuarios. Aquí destacamos dos tecnologías innovadoras creadas por ExpressVPN.
Lightway: el protocolo que ofrece una experiencia superior de VPN
Lightway es un protocolo VPN creado por ExpressVPN. Un protocolo VPN es el método por el cual un dispositivo se conecta a un servidor VPN. La mayoría de los proveedores usan los mismos protocolos comerciales corrientes, pero nos propusimos crear uno con un rendimiento superior para hacer que la experiencia VPN de los usuarios no solo sea más rápida y confiable, sino también más segura.
Lightway usa wolfSSL, cuya biblioteca de criptografía está bien consolidada y ha sido examinada exhaustivamente por terceros, que incluso la han evaluado según el estándar FIPS 140-2.
Lightway también preserva la confidencialidad directa total, ya que tiene claves de encriptación dinámicas que se depuran y regeneran regularmente.
La biblioteca central de Lightway es de código abierto, lo que garantiza que se pueda evaluar de forma transparente y amplia para asegurar la seguridad.
Lightway admite encriptaciones resistentes a la computación cuántica, lo que protege a los usuarios de atacantes que tengan acceso a computadoras clásicas y tradicionales. ExpressVPN es uno de los primeros proveedores de VPN en lanzar protección ante la computación cuántica y, gracias a esto, los usuarios permanecerán seguros frente al avance de esta tecnología.
Conozca más sobre Lightway y lea nuestro blog de desarrollo para encontrar información técnica de los desarrolladores de software de ExpressVPN sobre cómo funciona Lightway y qué lo hace mejor que el resto.
TrustedServer: todos los datos borrados con cada reinicio
TrustedServer es una tecnología de servidor VPN que creamos para brindarle mayor seguridad a nuestros usuarios.
Se ejecuta solo en memoria volátil o RAM. El sistema operativo y las aplicaciones nunca escriben en los discos duros, que retienen todos los datos hasta que se borran o se sobrescriben. Dado que la memoria RAM requiere energía para almacenar datos, toda la información de un servidor se borra cada vez que se apaga y se vuelve a encender, lo que evita que tanto los datos como los posibles intrusos permanezcan en la máquina.
Aumenta la consistencia. Con TrustedServer, cada uno de los servidores de ExpressVPN ejecuta el software más actualizado, en lugar de que cada servidor reciba una actualización en diferentes momentos según sea necesario. Eso significa que ExpressVPN sabe exactamente qué se está ejecutando en todos y cada uno de los servidores, lo que minimiza el riesgo de vulnerabilidades o errores de configuración y mejora drásticamente la seguridad de la VPN.
La tecnología TrustedServer ha sido auditada por PwC.
¿Desea conocer más a detalle las muchas maneras en que TrustedServer protege a los usuarios? Consulte nuestro análisis a fondo de esta tecnología, elaborado por el ingeniero que diseñó el sistema.
Auditorías de seguridad independientes
Nos aseguramos de encargar auditorías exhaustivas de nuestros productos por parte de terceros con mucha frecuencia. A continuación, usted puede ver una lista de nuestras auditorías externas por orden cronológico:
Auditoría realizada por Cure53 de la extensión de navegador de ExpressVPN Keys (octubre de 2022)
Auditoría realizada por Cure53 de la extensión de navegador de ExpressVPN (octubre de 2022).
Auditoría de seguridad llevada a cabo por Cure53 de nuestra aplicación para iOS (septiembre de 2022).
Auditoría de seguridad por Cure53 de nuestra aplicación para Android (agosto de 2022).
Auditoría realizada por Cure53 de nuestra aplicación para Linux (agosto de 2022).
Auditoría por Cure53 de nuestra aplicación para macOS (julio de 2022).
Auditoría de seguridad efectuada por Cure53 de nuestro router Aircove (julio de 2022).
Auditoría de seguridad por Cure53 de TrustedServer, nuestra tecnología propia de servidores VPN (mayo de 2022).
Auditoría realizada por F-Secure de nuestra aplicación para Windows v12 (abril de 2022).
Auditoría de seguridad por F-Secure de nuestra aplicación para Windows v10 (marzo de 2022).
Auditoría de seguridad efectuada por Cure53de nuestro protocolo VPN Lightway (agosto de 2021).
Auditoría por PwC Suiza de nuestro proceso de verificación de compilación (junio de 2020).
Auditoría llevada a cabo por PwC Suiza del cumplimiento de nuestra política de privacidad y nuestra tecnología propia TrustedServer (junio de 2019).
Auditoría de seguridad por Cure53 de nuestra extensión de navegación (noviembre de 2018).
Recompensas por errores
Por medio de nuestro programa de recompensas por errores, invitamos a los investigadores de seguridad a probar nuestros sistemas y recibir una compensación financiera por cualquier problema que encuentren. Este programa nos brinda acceso a una gran cantidad de evaluadores que revisan periódicamente nuestra infraestructura y aplicaciones en busca de problemas de seguridad. Posteriormente, estos hallazgos son validados y corregidos, garantizando que nuestros productos sean tan seguros como es posible.
El alcance de nuestro programa incluye vulnerabilidades en nuestros servidores VPN, en nuestras aplicaciones y extensiones de navegador, en nuestra página web y más. Les brindamos un "puerto seguro" total a las personas que reportan errores, lo cual cumple con las buenas prácticas globales en el espacio de investigación de seguridad.
Nuestro programa de recompensas por errores es administrado por Bugcrowd. Siga este enlace para obtener más información o informar sobre algún error.
Liderazgo en la industria
Si bien establecemos rigurosos estándares para nosotros mismos, también creemos que nuestro trabajo de construir una internet más privada y segura no termina allí; es por eso que colaboramos con la industria entera de las VPN para elevar los estándares y proteger mejor a los usuarios.
Somos cofundadores y presidentes de la VPN Trust Initiative (VTI) junto con la Internet Infrastructure Coalition (i2Coalition) y varios otras entidades importantes de la industria. Además de su continuo trabajo de concientización y promoción, el grupo dio a conocer los Principios VTI, una serie de pautas compartidas para los proveedores de VPN responsables,
en las áreas de seguridad, privacidad, transparencia y más. Esto se basa en el trabajo anterior de la iniciativa de transparencia de ExpressVPN en asociación con el Centro para la democracia y la tecnología.
Algunas de las innovaciones en las que hemos sido pioneros han ayudado a impulsar la industria de las VPN. Fuimos los primeros en crear TrustedServer y, desde entonces, otros han seguido nuestro ejemplo para implementar tecnologías similares. Lightway es otro ejemplo de una tecnología que hemos desarrollado desde cero, y esperamos que hacerlo de código abierto tenga una influencia en la industria de las VPN en conjunto.
Iniciativas de privacidad
Más información sobre cómo protegemos la privacidad de nuestros usuarios.
Certificación ioXT
ExpressVPN se ha convertido en una de las pocas aplicaciones de VPN certificadas por ioXt Alliance por sus estándares de seguridad, permitiéndole así a los consumidores utilizar nuestros servicios con una mayor confianza.
Funciones dentro de la app
Hemos introducido una función en nuestra aplicación para Android denominada Resumen de protección, que le ayuda a los usuarios a proteger su privacidad con pautas prácticas.
Laboratorio de seguridad digital
Hemos lanzado el Laboratorio de seguridad digital para profundizar en los problemas de privacidad del mundo real. Eche un vistazo a sus herramientas de comprobación de fugas, que ayudan a validar la seguridad de su VPN.