PureVPN se ha sometido recientemente a una auditoría independiente muy necesaria de su reclamación de “no registros”. Digo que es muy necesaria tanto porque la transparencia es algo que la industria vpn en su conjunto necesita urgentemente y las propias controversias de PureVPN en el pasado pidieron una limpieza completa de la casa.
Después de una serie de VPN como ExpressVPN,NordVPN, TunnelBear y VyprVPN, PureVPN es ahora el último proveedor en recibir la validación de un auditor para fortalecer aún más la confianza del usuario.
Altius IT,la empresa de auditoría de seguridad de red con sede en California, resumió su inspección de 18 días de duración de la política de no registros de PureVPN en estas palabras:
” [Altius IT] no encontró ninguna evidencia de configuraciones del sistema y/o archivos de registro de sistema/servicio que de forma independiente o colectiva pudieran conducir a la identificación de una persona específica y/o la actividad de la persona al utilizar el servicio PureVPN.”
Sin embargo, todavía hay mucha ambigüedad en torno a las políticas de registro de VPN en general, algo que PureVPN ha recibido específicamente flak injustificado durante los años. La verdad es que es simplemente imposible que cualquier VPN opere sin registros sobre sus clientes en absoluto.
Como tal, es importante clasificar los registros en dos tipos: registros que tienen el poder de socavar su privacidad en línea (registros de uso) y registros que son simplemente inofensivos en lo que respecta a la preservación de su privacidad (credenciales de cuenta).
Es el primero, es decir, registros que contienen información de identificación personal (PII) como nombres, direcciones de correo electrónico, direcciones IP personales, etc. que ninguna VPN legítima tiene ningún almacenamiento comercial.
La auditoría independiente a la que se ha sometido PureVPN demuestra que, en lo que respecta a pii, todas las garantías de no registro que la empresa ha estado dando a los clientes son perfectamente legítimas.
Sin embargo, dada la historia de PureVPN, esto podría levantar algunas cejas entre aquellos que tienen una familiaridad previa con la marca, particularmente en relación con el caso del FBI que ocurrió en 2017.
Creemos que esta auditoría ha dado el momento perfecto para que PureVPN sea limpia y establezca el récord sobre toda la postura de la compañía sobre la privacidad de los usuarios. Es por eso que nos pusimos en contacto con PureVPN con algunas preguntas propias:
P.1 ¿Por qué PureVPN esperó hasta ahora para llevar a cabo esta auditoría independiente? ¿Es una confesión silenciosa de que la compañía estaba almacenando troncos antes?
“Esta Auditoría es una serie de pasos que estamos tomando para consolidar aún más nuestro compromiso con la verdadera privacidad.
Antes del 25 de mayo de 2018, que resulta ser la fecha de la ley gdpr también, estábamos siguiendo una política de privacidad diferente. Enpolítica nos permitió cooperar con las fuerzas del orden en caso de delitos graves como pornografía infantil, actividades terroristas y similares.
Lo llamamos política de “Cero registros de navegación”. Esa vieja política fue descrita y explicada muy claramente en nuestra respuesta al evento del FBI en octubre de 2017.
Sin embargo, siguiendo la postura de Apple con el caso del iPhone del FBI y con la llegada del RGPD, sentimos que estamos viendo suficiente soporte global para pasar de la política “Zero Browsing Logs” a la política “Zero User Logs”; diferencia clave son las marcas de tiempo y las direcciones IP ISP entrantes (originales).
Así que con efecto a partir del 25 de mayo de 2018, estamos siguiendo una versión diferente de la Política de privacidad (política zero logs sin absolutamente ningún registro de navegación, sin marcas de tiempo individuales de conexión / desconexión y sin registro de direcciones IP ISP originales entrantes o su asociación en cualquier forma con direcciones IP VPN enmascaradas). Desde entonces, PureVPN ha pasado por una serie de auditorías centradas en diferentes aspectos del servicio desde la seguridad, la privacidad, la política de registro.
Esta es la última política de privacidad: Puede leer la política de privacidad de PureVPN aquí:
https://www.purevpn.com/privacy-policy.php “
P.2 Esta auditoría parece limitada en el ámbito, ya que solo tuvo en cuenta el aspecto de registro de su servicio. ¿Hay alguna razón por la que la auditoría no inspeccionó holísticamente su infraestructura completa para identificar las fortalezas y debilidades subyacentes?
“Esto no es una auditoría de alcance limitado. Es una auditoría extensa de alcance completo. Permitimos y aprovisionamos todos los accesos para que recogieran e inspeccionaran los sistemas que quisieran a su antojo. Examinaron todo, desde nuestros servidores VPN, configuraciones, servicios de sistemas y API. También examinaron nuestras bases de datos y rastrearon todos los flujos de datos para asegurarse de que ninguna información identificable por el usuario no se almacenaba en ninguna parte.
PureVPN ha pasado por una serie de auditorías de seguridad, privacidad y registros. Seguimos involucrando auditores independientes de renombre de vez en cuando para proporcionar mejores servicios y garantías a nuestros clientes en más de 140 países en todo el mundo. Además de ser el primero en cumplir con gdpr y tener la política de privacidad más transparente, PureVPN es el primer y único proveedor en tener un programa público de recompensas por errores pagados (Bugcrowd.com/purevpn) donde más de 90,000 más de la comunidad fuerte de hackers sombrero blanco continuamente prueban y fortalecen nuestro servicio. Nos esforzamos día y noche para ofrecer cada vez más valor a millones de suscriptores en más de 140 países que confían en su seguridad y privacidad con nosotros”.
P.3) Muchos de sus servidores se encuentran en países que pueden tener requisitos obligatorios de retención de datos, como los EE. UU. ¿Cómo garantiza la adhesión a su directiva de “no registro” cuando los usuarios están conectados a estos servidores?
“
Somos una VPN con sede en Hong Kong y no hay una ley de retención de datos obligatoria aquí.
Además, elegimos cuidadosamente los centros de datos que se adapten a nuestra política de privacidad. Cualquier incumplimiento de nuestros requisitos se informa y resuelve en consecuencia dentro de los contratos que hacemos con centros de datos de terceros antes de la adquisición de servicios en esos países.”
P.4) ¿Cuál es la respuesta de la empresa en caso de que reciba una orden judicial o una orden judicial para divulgar la información de un cliente?
“Hemos mencionado abiertamente en nuestra política de privacidad que:
PureVPN eligió específicamente Hong Kong (HK) para su sede porque no hay “leyes obligatorias de retención de datos” en Hong Kong. Por lo tanto, no estamos legalmente obligados a almacenar datos de usuario y compartirlos con nadie. Además, como se ha indicado anteriormente, no tenemos datos que valgan la pena compartir con ningún organismo encargado de hacer cumplir la ley de ningún país en particular del mundo. Incluso si recibimos citaciones que están legalmente confirmadas en el tribunal de Hong Kong, no seremos de mucha ayuda ya que no tenemos casi nada de valor que compartir”.
P.5) Teniendo en cuenta la situación existente en Hong Kong -la región en la que se encuentra- y la amenaza de China a la soberanía de la región, ¿cómo podría afectar esto al compromiso de PureVPN de mantener una VPN sin registro en el futuro?
“Somos conscientes de ello, en la actualidad, sin embargo, no vemos nada que pueda afectar a PureVPN. Estamos constantemente atentos aquí y tomaremos las medidas necesarias cuando el tiempo o las circunstancias lo exijan”.
Pensamientos Finales
PureVPN ciertamente ha recorrido un largo camino. Con la firma de auditoría confirmando ahora la reclamación de registro de PureVPN, la compañía está lista para tomar un nuevo comienzo y fortalecer su reputación como una empresa que respeta la privacidad del usuario por encima de todo.
Tal vez eso es lo que separa a las empresas con visión de futuro y centradas en el cliente de aquellas que inevitablemente languidecen en la irrelevancia- un destino contra el que PureVPN sigue avanzando significativamente.