Responsabilidad corporativa
**Pregunta 1: ¿Cuál es el nombre legal completo y de cara al público del servicio VPN y de cualquier empresa matriz o holding?
NymVPN es operado por Nym Technologies SA, empresa suiza con sede en Neuchâtel (Suiza). La empresa es propiedad privada de sus cofundadores, Harry Halpin y Alexis Roussel, sin empresas matrices ni holdings. Otros cofundadores son accionistas minoritarios de la empresa.
Ni Nym Technologies SA, ni Harry Halpin, ni Alexis Roussel tienen participaciones de propiedad o económicas en otras empresas VPN. Harry Halpin fue anteriormente Presidente de la Junta del Proyecto de Acceso a la Encriptación LEAP (una VPN centralizada para activistas de derechos humanos), cargo que abandonó.
NymVPN es operado únicamente por Nym Technologies SA, sin la participación de ninguna otra empresa o socio.
**Pregunta 2: ¿Tiene la empresa, u otras empresas implicadas en el funcionamiento o la propiedad del servicio, alguna participación en sitios web de reseñas de VPN?
No.
Pregunta 3: ¿Cuál es el modelo de negocio del servicio (es decir, cómo gana dinero la VPN)?
NymVPN genera ingresos exclusivamente a través de suscripciones VPN, que incluyen tanto acceso dVPN como mixnet. No nos dedicamos a vender información de los usuarios y no utilizamos los datos de los clientes (si los hubiera) para ningún otro fin que no sea el funcionamiento del servicio VPN.
Estamos pensando en hacer versiones empresariales de nuestro mixnet para socios potenciales. Nym Technologies SA ha recibido una pequeña cantidad de ingresos procedentes de la integración del mixnet con otros proyectos, entre ellos:
- una subvención del Programa de Subvenciones a la Comunidad ZCash, para integrar el mixnet con los monederos ZCash;
- Subvenciones de I+D del programa Internet de Nueva Generación de la Comisión Europea, para permitir mejores formatos de paquetes mixnet y la tecnología de las credenciales anónimas.
Prácticas de registro de datos
Pregunta 4: ¿El servicio almacena algún dato o metadato generado durante una sesión de VPN (desde la conexión hasta la desconexión) después de que la sesión se haya terminado? Si es así, ¿qué datos?
- Dispositivo del usuario: Durante la fase alpha y por motivos de depuración, algunos datos de conexión pueden ser registrados en los registros de la aplicación y almacenados en el dispositivo del usuario. Estos registros se eliminan regularmente. A medida que las aplicaciones de NymVPN se vuelven más estables, Nym tiene como objetivo hacer que estos registros sean más reducidos. Los usuarios pueden revisar los datos a través del menú Configuración > Registros en su aplicación NymVPN (nota: Estos registros se almacenan localmente en el dispositivo del usuario y no se comparten con Nym ni con terceros).
- Nym Technologies SA: Los usuarios tienen la opción de compartir voluntariamente informes de fallos anonimizados (a través de Sentry) para ayudar a mejorar NymVPN. Estos informes están diseñados para garantizar que no contengan ninguna información identificativa sobre usuarios individuales. Por diseño, Nym Technologies SA no tiene acceso a ningún otro dato sobre las actividades en línea del usuario.
- Operadores de nodos: NymVPN es una VPN descentralizada, con servidores operados por operadores independientes. Por diseño, los operadores del gateway de entrada pueden tener acceso a la dirección IP del usuario (pero no a su actividad en línea), y los operadores del gateway de salida pueden ver la actividad en línea (pero no pueden enlazarla a la dirección IP del usuario). De acuerdo con nuestros Términos y Condiciones para Operadores y Validadores, los operadores se comprometen a no 'recopilar, supervisar, registrar, anotar, almacenar, conservar ni transferir a ningún tercero información del Nodo de Nym ni ninguna información o datos relacionados con las actividades de los usuarios finales de NymVPN o los Servicios VPN'.
Para obtener más información, consulte nuestra Declaración de privacidad de aplicaciones.
Pregunta 5: ¿Su empresa almacena (o comparte con otros) algún dato de navegación de usuarios y/o actividad de red, incluyendo búsquedas de DNS y registros de nombres de dominio y sitios web visitados?
Ver la pregunta 4.
Búsquedas DNS: NymVPN no opera un servicio de DNS. Como resultado, las búsquedas DNS son manejadas por el proveedor de DNS predeterminado o el que ha configurado el usuario.
Pregunta 6: ¿Tiene un proceso claro para responder a solicitudes legítimas de datos de las fuerzas del orden y los tribunales?
NymVPN está operado por Nym Technologies SA, una empresa suiza y cumple con la legislación suiza. Mantenemos asesoría legal para tratar con cualquier solicitud de las autoridades.
Por diseño, como un servicio de VPN descentralizado, NymVPN no retiene ningún dato relacionado con las actividades en línea de los usuarios. Aunque NymVPN tiene acceso a los datos de pago de los usuarios, estos no están correlacionados con sus cuentas de VPN a través de la incorporación basada en “zk-nyms” (pruebas de conocimiento cero).
Dado que Nym es descentralizado, es posible que las solicitudes de datos por parte de las fuerzas del orden y los tribunales se dirijan a nodos descentralizados en nuestra red.
Prácticas de seguridad
Pregunta 7: ¿Qué hace para proteger contra el acceso no autorizado a los flujos de datos de los clientes a través de la VPN?
Compromiso con la seguridad: NymVPN está comprometido a ofrecer a sus usuarios los más altos estándares de privacidad y seguridad. El código base de NymVPN es completamente de código abierto, licenciado bajo GPLv3 y la compañía de software Apache, y está disponible para cualquier auditoría. En julio de 2024, NymVPN y otras tecnologías centrales de Nym fueron auditadas por la prestigiosa compañía de pen-testing Cure53. Nym Technologies también ha pasado otras auditorías de seguridad relacionadas con su mixnet y criptografía.
Programa de recompensas por fallos / divulgación de vulnerabilidades: A partir de diciembre de 2024, NymVPN está planeando un programa de divulgación de vulnerabilidades para que los investigadores de seguridad informen sobre problemas que se lanzará en el primer trimestre de 2025. Este programa se pondrá en vivo una vez que los resultados de la auditoría de Cure53 hayan sido abordados y publicados.
Protocolos criptográficos: Guiados por expertos en seguridad, privacidad y criptografía, NymVPN confía en protocolos criptográficos de última generación, especialmente incluyendo (para el modo mixnet):
- AES128 para la comunicación segura entre clientes y nodos de entrada, así como para el cifrado del encabezado de Sphinx;
- BLAKE3 para la derivación de claves en formato de paquete Sphinx;
- Lioness para el cifrado de payload de Sphinx.
Y (para el modo basado en WireGuard):
- ChaCha20 para cifrado simétrico;
- Poly1305 para autenticación;
- BLAKE2s para hashing.
Actualización de software: Las aplicaciones de usuario final y los binarios de operador de NymVPN se actualizan regularmente o según sea necesario para garantizar parches y mejoras de seguridad.
Control del servidor y seguridad física: Por diseño, Nym Technologies SA no opera los servidores VPN, sino que se basa en operadores de nodos independientes. Nym Technologies SA también asegura el uso de herramientas internas modernas y gestionadas de manera segura, y aplica políticas estrictas de seguridad para los empleados, incluyendo la Autenticación Multifactor.
Pregunta 8: ¿Qué otros controles utiliza el servicio para proteger los datos de los usuarios?
Ver la pregunta 7.
Contexto
Siguiendo las discusiones en la conferencia de derechos humanos RightsCon en 2018, el Centro para la Democracia y la Tecnología (CDT, una organización sin fines de lucro de renombre dedicada a promover los derechos civiles y las libertades civiles en la era digital) e importantes proveedores de VPN reconocieron una falta significativa de confianza y transparencia dentro de la industria de VPN.
En respuesta, el CDT desarrolló una lista de 8 preguntas normalizadas centrada en (1) la responsabilidad corporativa, (2) las prácticas de registro de datos, y (3) prácticas de seguridad, permitiendo a los proveedores de VPN demostrar su compromiso con la fiabilidad y una reputación positiva.
En nuestro compromiso con la total transparencia respecto a nuestro producto y operaciones, estamos compartiendo nuestras respuestas a las 8 preguntas del cuestionario de Señales de VPNs Confiables.
Última actualización: 4 de diciembre de 2024