Auditoría de Seguridad 2025 por cure53
La seguridad siempre ha sido el núcleo de lo que hacemos en Psono. Por eso nos complace compartir los resultados de nuestra más reciente auditoría de seguridad, llevada a cabo por la reconocida firma de ciberseguridad Cure53. Su exhaustiva prueba de penetración de caja blanca y auditoría de código fuente se centró en los complementos del navegador Psono (Chrome, Firefox, Edge), nuestra API de backend y los endpoints relacionados.
“El uso de PyNaCl en toda la aplicación garantiza un manejo efectivo de datos y criptografía.”
— Informe de Seguridad de Cure53, marzo de 2025
Qué Cubrió la Auditoría
La auditoría, que abarcó cuatro paquetes de trabajo dedicados (WPs), evaluó tanto los componentes del lado del cliente como del lado del servidor de Psono:
- WP1–WP3: Complementos para Chrome, Firefox y Edge
- WP4: API de backend y endpoints
El equipo de Cure53 tuvo total acceso a nuestro código fuente, documentación y recursos internos. Durante el transcurso de doce días, su equipo de cinco personas evaluó meticulosamente la seguridad de nuestra infraestructura.
Hallazgos y Soluciones
Se identificaron un total de ocho problemas relacionados con la seguridad, que varían de baja a alta severidad:
- 0 problemas de severidad crítica
- 1 problema de alta severidad
- 3 problemas de severidad media
- 4 problemas de severidad baja o misceláneos
Todas las vulnerabilidades ya han sido corregidas y verificadas por Cure53. Cuando fue apropiado, implementamos mitigaciones adicionales, como CSP (Políticas de Seguridad de Contenidos), validación de protocolos, actualizaciones de dependencias y un comportamiento de autocompletar más seguro.
Puede leer la lista completa de hallazgos, incluidos los conocimientos técnicos detallados y notas de remediación, en la versión pública del informe de Cure53 enlazada a continuación.
Por Qué Esto Es Importante
Ser transparentes acerca de nuestras prácticas de seguridad ayuda a reforzar la confianza que nuestros usuarios depositan en Psono. Los proyectos de código abierto se benefician enormemente del escrutinio público, y nosotros lo recibimos con agrado.
Estamos orgullosos de que el informe reconozca la fortaleza de nuestras medidas de seguridad existentes. Particularmente notable es que muchos de los problemas identificados tuvieron su impacto mitigado por diseño, a través de mecanismos como controles de acceso de claves API y una estricta aplicación de CSP.
Descargue el Informe Completo
Puede leer el informe completo de Cure53 aquí:
