No se encontraron vulnerabilidades importantes en Verrugaúltima auditoría de seguridad independiente, dijo la compañía en un publicación de blog el viernes. Assured Security Consultants, con sede en Gotemburgo, llevó a cabo una auditoría de la nueva implementación WireGuard de Mullvad, GotaTun, entre el 19 de enero y el 15 de febrero de 2026.
EL última auditoría Es el número 18 de Mullvad desde 2017 y consolida aún más la posición de la VPN como una de las más transparentes de la industria. Entre Las mejores opciones de VPN de CNETjusto ExpressVPN superó la auditoría de Mullvad, con 23 auditorías encargadas desde 2018.
En concreto, Assured Security Consultants completó una auditoría del código de seguridad. soltar tunLa implementación de Mullvad de el protocolo de conexión WireGuardescrito en óxido. La auditoría consistió en una revisión del código fuente y pruebas de toda la implementación de GotaTun, excluyendo el análisis de tráfico de IA de Mullvad que bloquea el código DAITA y su interfaz de línea de comandos. Aunque los auditores no encontraron vulnerabilidades importantes en el código, sí señalaron dos problemas de seguridad de gravedad baja.
El primer problema tenía que ver con cómo GotaTun manejaba la generación de identificadores de sesión. Los auditores notaron que GotaTun generó los identificadores de sesión a través de un registro de desplazamiento de retroalimentación lineal de 24 bits, mientras que la especificación WireGuard requiere un número aleatorio de 32 bits.
“Aunque no parece debilitar la protección de los túneles de red, podría revelar información sobre el número de pares, así como el número de veces que se intercambiaron apretones de manos con los pares, a cualquiera que pudiera espiar el tráfico de la red”, afirma la auditoría.
Mullvad dijo que la debilidad proporcionada casi no hay información adicional a un observador porque ya tendría información sobre el recuento total de pares y la duración de la sesión. Aún así, la compañía publicó una solución en una versión posterior y ahora implementa identificadores de pares de acuerdo con las especificaciones de WireGuard.
El segundo problema también implicó una desviación de las especificaciones de WireGuard, donde GotaTun no rellenó los paquetes de datos a 16 bytes antes del cifrado. Los auditores notaron que este no era un problema criptográfico importante, pero recomendaron agregar relleno para seguir las especificaciones de WireGuard.
Mullvad también ha implementado una solución para esto, pero señala que “la protección que proporciona este relleno es de naturaleza algo similar, pero mucho menos poderosa, que nuestra funcionalidad DAITA. Mullvad recomienda que cualquiera que incluya un análisis de tráfico sofisticado en su modelo de amenazas considere habilitar DAITA”.
Aunque las auditorías independientes no son perfectas y no pintes una imagen completa Dado que sólo pueden validar sus conclusiones durante la propia auditoría, este es un buen ejemplo de cómo las auditorías pueden ayudar a las VPN a identificar y reforzar las vulnerabilidades, por pequeñas que sean.
Mullvad ha demostrado constantemente un compromiso inquebrantable con la transparencia y la privacidad del usuario. El software de la VPN es completamente de código abierto, lo que significa que el código está disponible públicamente para que cualquiera pueda inspeccionarlo, pero el hecho de que Mullvad dé el paso adicional de encargar auditorías a empresas de seguridad externas también ayuda a ilustrar plenamente este compromiso con la transparencia.
La revisión positiva de Assured Security Consultants ayuda a reforzar la confianza en la seguridad y confiabilidad de GotaTun, al tiempo que fortalece la postura general de privacidad de Mullvad.
GotaTun tiene como objetivo mejorar la confiabilidad y velocidad de la implementación WireGuard de Mullvad y se lanzó para la aplicación de Android de Mullvad en diciembre, con planes de implementarse en otras plataformas este año.
