El proveedor de redes privadas virtuales ExpressVPN ha publicado recientemente un informe de auditoría realizado por Nettitude, una reconocida empresa de ciberseguridad. Esta evaluación independiente se centró en las aplicaciones Windows de ExpressVPN, concretamente en la gestión de DNS cuando se utiliza la funcionalidad de túnel dividido.
Nettitude, la empresa auditora
Nettitude, responsable de la auditoría, opera en el ámbito de la ciberseguridad. Certificada por el PCI Security Standards Council (PCI SSC), Nettitude ofrece servicios de evaluación y certificación para ayudar a las organizaciones a demostrar que cumplen la norma PCI DSS. Su experiencia se extiende a las evaluaciones in situ, en las que trabajan en estrecha colaboración con los equipos de los clientes para garantizar el estricto cumplimiento de todos los requisitos de seguridad.
Problema y solución
La auditoría se inició a raíz de un informe de Attila Tomaschek, experto en VPN de CNET, que observó un comportamiento inesperado en las consultas DNS al utilizar la tunelización dividida. ExpressVPN reaccionó rápidamente desplegando un parche, validado por pruebas independientes realizadas internamente y por el informador original. Sin embargo, para asegurarse de que el problema estaba totalmente solucionado y que sus aplicaciones eran seguras, ExpressVPN pidió a Nettitude que llevara a cabo una evaluación más detallada.
Resultados e implicaciones
La auditoría de Nettitude concluyó que la aplicación era robusta en general, con el descubrimiento de un único fallo de seguridad de gravedad moderada, que ya ha sido resuelto. Esta rigurosa auditoría no se limitó a solucionar un fallo, sino que también dio lugar a una profunda reflexión sobre las fugas de DNS en el sector de las VPN.
Según un estudio publicado por ExpressVPN en el archivo de ingeniería engrXiv, las fugas DNS se dividen en dos categorías: el tipo 1, en el que las consultas DNS eluden el túnel VPN debido a errores de configuración, y el tipo 2, más sutil, en el que las consultas se dirigen a servidores DNS no elegidos deliberadamente por el usuario. Este último punto pone de relieve un riesgo a menudo subestimado pero significativo para la confidencialidad de los usuarios.
Hacia un nuevo estándar de seguridad
Este estudio pone de manifiesto la necesidad de reevaluar los métodos tradicionales de detección de fugas de DNS. Como los servidores DNS furtivos no son detectados por las herramientas convencionales, se hace imperativo reforzar las medidas de seguridad del lado del servidor y promover una lista blanca estratégica de servidores DNS. El objetivo es claro: reforzar la privacidad y la seguridad en línea al tiempo que se impulsa a la industria hacia normas más estrictas de transparencia y cooperación.