La seguridad siempre ha sido el núcleo de lo que hacemos en Psono. Por eso nos complace compartir los resultados de nuestra más reciente auditoría de seguridad, llevada a cabo por la reconocida firma de ciberseguridad Cure53. Su exhaustiva prueba de penetración de caja blanca y auditoría de código fuente se centró en los complementos del navegador Psono (Chrome, Firefox, Edge), nuestra API de backend y los endpoints relacionados.
“El uso de PyNaCl en toda la aplicación garantiza un manejo efectivo de datos y criptografía.”
— Informe de Seguridad de Cure53, marzo de 2025
La auditoría, que abarcó cuatro paquetes de trabajo dedicados (WPs), evaluó tanto los componentes del lado del cliente como del lado del servidor de Psono:
El equipo de Cure53 tuvo total acceso a nuestro código fuente, documentación y recursos internos. Durante el transcurso de doce días, su equipo de cinco personas evaluó meticulosamente la seguridad de nuestra infraestructura.
Se identificaron un total de ocho problemas relacionados con la seguridad, que varían de baja a alta severidad:
Todas las vulnerabilidades ya han sido corregidas y verificadas por Cure53. Cuando fue apropiado, implementamos mitigaciones adicionales, como CSP (Políticas de Seguridad de Contenidos), validación de protocolos, actualizaciones de dependencias y un comportamiento de autocompletar más seguro.
Puede leer la lista completa de hallazgos, incluidos los conocimientos técnicos detallados y notas de remediación, en la versión pública del informe de Cure53 enlazada a continuación.
Ser transparentes acerca de nuestras prácticas de seguridad ayuda a reforzar la confianza que nuestros usuarios depositan en Psono. Los proyectos de código abierto se benefician enormemente del escrutinio público, y nosotros lo recibimos con agrado.
Estamos orgullosos de que el informe reconozca la fortaleza de nuestras medidas de seguridad existentes. Particularmente notable es que muchos de los problemas identificados tuvieron su impacto mitigado por diseño, a través de mecanismos como controles de acceso de claves API y una estricta aplicación de CSP.
Puede leer el informe completo de Cure53 aquí: