Auditorías de seguridad de la red y las aplicaciones de Nym 2023–2024

En el período previo al lanzamiento comercial de NymVPN al mundo, la red y las aplicaciones de Nym han sido sometidas a dos auditorías de seguridad exhaustivas e independientes en los últimos dos años. El objetivo ha sido asegurarse de que la tecnología, la criptografía y la red de Nym estén en plena forma para cuando NymVPN llegue a manos de los clientes.

Los resultados han dado lugar a importantes mejoras de seguridad y rendimiento entre bastidores. Al igual que el código fuente abierto de Nym, estas auditorías se hacen públicas, así como las respuestas del equipo de Nym en las que se explican las medidas adoptadas para abordar los problemas pertinentes.

¿Qué es una auditoría de seguridad?

Una auditoría de seguridad se produce cuando una empresa intenta probar los parámetros de seguridad y las vulnerabilidades de una tecnología, un sistema o una red. Como en el caso de Nym, puede tratarse de medidas proactivas para garantizar que un producto beta se somete a pruebas rigurosas antes de su lanzamiento.

Las auditorías de seguridad pueden ser realizadas internamente por personal de seguridad o un equipo de desarrollo, pero lo ideal es que las lleve a cabo una empresa de auditoría independiente que no tenga intereses en la empresa o la tecnología. Esto garantiza la imparcialidad y el rigor científico de las pruebas.

Además, las auditorías de seguridad pueden realizarse a diferentes escalas dependiendo de si el código de una empresa es total o parcialmente propietario (es decir, no accesible al público) o de código abierto.

En ambos casos, las auditorías de seguridad realizadas en la red y las aplicaciones de Nym entre 2023 y 2024 corrieron a cargo de empresas de seguridad independientes con pleno acceso al software de código abierto de Nym. Todos los informes y respuestas están igualmente a disposición del público y de la comunidad para su consulta.

Auditoría de Cure53 (julio de 2024)

La última y más exhaustiva auditoría fue realizada en julio de 2024 por la empresa con sede en Berlín Cure53. Cure53 es muy conocida en el espacio Web3 y ha realizado auditorías para otras empresas VPN como ExpressVPN, Mullvad, TunnelBear y NordVPN.

Alcance de la auditoría
Cure53 empleó una estrategia de caja de cristal con acceso completo al código fuente, compilaciones, documentación, entornos de prueba y documentos científicos de apoyo. Su exhaustiva auditoría abarcó la infraestructura de Nym, incluidas las aplicaciones móviles y de escritorio, la infraestructura VPN, la criptografía y la arquitectura del sistema. Esto se llevó a cabo mediante pruebas de penetración, auditorías del código fuente y revisiones del código.

Resultados de la auditoría
Se comprobó que muchos aspectos fundamentales del sistema Nym estaban en buen estado y eran seguros, en particular sus aplicaciones para móviles y ordenadores de sobremesa y las compilaciones de Rust.

“Cure53 […] confirmó que ni las aplicaciones de Android ni las de iOS contenían información sensible o secretos codificados, lo que constituye una consideración clave de seguridad”.

La auditoría de Cure53 fue capaz de señalar una serie de importantes riesgos potenciales de seguridad en todo el sistema Nym, en particular con respecto a los riesgos potenciales en su implementación criptográfica, por ejemplo, con respecto a una posible fuga de texto plano en el apretón de manos cifrado entre el cliente y las puertas de enlace. El equipo de Nym abordó rápidamente este tipo de riesgos críticos.

Otros riesgos potenciales fueron identificados por Cure53 como “altos” o “críticos”, aunque, como aclara la respuesta de Nym, se referían a aspectos de la infraestructura de Nym que, por ejemplo, ya no estaban en funcionamiento, o a posibles ataques que no tendrían éxito dado el diseño actual, por ejemplo, de la implementación del dinero electrónico de Nym.

Puedes leer la respuesta de Nym a la auditoría de Cure53 con explicaciones sobre todos los cambios realizados o no por los responsables de investigación y tecnología de Nym. También puedes encontrar allí un enlace al informe original de Cure53.

Auditoría Oak (2023)

Los investigadores de Nym también han publicado ahora una respuesta a dos auditorías de seguridad de 2023 realizadas por Oak Security, una empresa de seguridad con sede en Alemania especializada en contratos inteligentes. Oak tiene una amplia experiencia en ecosistemas como Cosmos, Terra, Polkadot y Flow.

Alcance de las auditorías
La primera auditoría se centró en los contratos mixnet y de adquisición de derechos de Nym, mientras que la segunda se centró específicamente en la aplicación Nym Wallet.

Con pleno acceso al código fuente abierto de Nym, la auditoría Oak abarcó los contratos/mixnet, los contratos/repositorios de derechos adquiridos, las importaciones pertinentes de estos contratos para los contratos mixnet y de derechos adquiridos de Nym, y la aplicación Nym Wallet.

Resultados de las auditorías

Auditoría de mixnet y contratos de adquisición de derechos
En cuanto a la auditoría de los contratos mixnet y de adquisición de derechos, Ania Piotrowska, Jefa de Investigación de Nym, resume los resultados y las medidas adoptadas:

“Los contratos mixnet y de adquisición de derechos de Nym se caracterizaban por una gran legibilidad y claridad, con una sólida cobertura de pruebas que respaldaba su fiabilidad. En su evaluación, los auditores detectaron 19 deficiencias, entre ellas 9 vulnerabilidades de seguridad -que incluían problemas de gravedad crítica y grave- y 10 deficiencias generales clasificadas como leves o informativas. El equipo de Nym ha solucionado rápidamente todos los problemas críticos y graves. El equipo de Oak Security verificó y aprobó nuestras correcciones”.

Auditoría de Oak Nym Wallet

En cuanto a la auditoría de Nym Wallet, Ania resume los resultados:

“Se comprobó que Nym Wallet tenía un código base bien estructurado con una legibilidad media-alta. Los auditores recomendaron mejorar la cobertura de las pruebas y la documentación para aumentar la fiabilidad y el mantenimiento. En total se detectaron 17 problemas en Nym Wallet. Ninguna de ellas se consideró crítica; cuatro se calificaron de importantes, mientras que las trece restantes se calificaron de secundarias o informativas, lo que ofrece oportunidades para seguir perfeccionando la aplicación del monedero. El equipo de Nym abordó con prontitud todos los hallazgos importantes, y Oak Security revisó y aprobó las correcciones.”

Conclusión

La seguridad de la red y de las aplicaciones es la mayor preocupación de Nym. Sin ella, las personas que recurran a Nym no obtendrán lo que necesitan y se les promete: las protecciones de privacidad y la seguridad más avanzadas disponibles en la actualidad. Así, el equipo de Nym se adentra en el 2025 con importantes mejoras de seguridad en su haber gracias al trabajo de consultoría de Cure53 y Oak Security.

Nym continuará con el proceso regular de auditorías independientes de su código base de código abierto, desarrollando aplicaciones y red, así como un programa de recompensas por errores para garantizar los más altos estándares de seguridad para las personas que utilizan NymVPN y la red.