Cómo leer una auditoría de seguridad de un gestor de contraseñas: Cure53, ISE, SOC 2 y qué cubre cada una en realidad
Cada tipo de auditoría comprueba cosas distintas. Cure53 cubre la implementación criptográfica; SOC 2 cubre los controles organizativos. Aquí está lo que cada gran gestor de contraseñas ha publicado realmente.
Los tres tipos de auditoría que importan
(1) Auditoría criptográfica / de penetración: una firma de seguridad (Cure53, ISE, NCC Group, Praetorian) examina la implementación criptográfica, los controles de acceso al servidor y las apps cliente, e informa de los hallazgos con calificaciones de gravedad. La auditoría es buena cuando se publica el informe completo con el nombre del auditor, la fecha y el alcance. (2) SOC 2 Type II: una auditoría de controles organizativos que cubre seguridad, disponibilidad, integridad del procesamiento, confidencialidad y privacidad a nivel operativo durante una ventana de observación de más de 6 meses. (3) ISO 27001: una certificación de un sistema de gestión de seguridad de la información. Type 1 ≠ Type 2; el alcance importa más que el sello.
Qué ha publicado cada gestor
Bitwarden: auditorías anuales de terceros (Cure53, ISE, Insight Risk Consulting); informes enlazados desde bitwarden.com/help/is-bitwarden-audited. 1Password: SOC 2 Type II + pruebas de penetración de ISE; historial de auditorías en 1password.com/security-audit. Proton Pass: auditoría de seguridad completa de Cure53 en el lanzamiento (2023, sin hallazgos críticos, hallazgos moderados subsanados antes del lanzamiento) según proton.me/blog/pass-launch. NordPass: auditoría de caja blanca de Cure53 en feb. de 2020, segunda auditoría de Cure53 sobre NordPass Business en 2021, SOC 2 Type 2, certificación ISO 27001 según nordpass.com/features/security. KeePassXC: código abierto auditado por la comunidad; sin auditoría de terceros encargada, pero el código fuente es público en GitHub.
Señales de alarma en el marketing de auditorías
(1) Una auditoría realizada por una firma contable sin el nombre publicado de una firma de seguridad. (2) Un alcance de auditoría limitado a «la aplicación» sin especificar qué componentes. (3) Una auditoría con más de 24 meses sobre un producto cuya arquitectura ha cambiado. (4) Una carta resumen en lugar de un informe completo. (5) Una auditoría realizada antes del lanzamiento de una versión importante que cambió materialmente la implementación criptográfica. Ninguno de los cinco gestores de esta comparativa encaja en estos patrones; las comunicaciones de LastPass tras su brecha (excluidas de esta comparativa) sí exhibieron varios de ellos.
Qué no cubre una auditoría
Las auditorías documentan lo que la firma de seguridad comprobó en un momento concreto. No cubren los ataques a la cadena de suministro (dependencias de npm comprometidas en la compilación del cliente), el riesgo interno en el proveedor ni las nuevas vulnerabilidades descubiertas después de la ventana de auditoría. Las defensas frente a eso son los clientes de código abierto (para que los investigadores puedan verificar cada versión de forma independiente: Bitwarden, Proton Pass, KeePassXC), los programas de recompensas por errores (1Password usa Bugcrowd; Bitwarden usa HackerOne) y decisiones arquitectónicas como la Secret Key de 1Password (un secreto adicional almacenado localmente que hace que una brecha del servidor por sí sola no pueda descifrar las bóvedas).
Fuentes
Auditorías de Bitwarden: bitwarden.com/help/is-bitwarden-audited. Auditorías de seguridad de 1Password: 1password.com/security-audit. Auditoría de Cure53 de Proton Pass: proton.me/blog/pass-launch. Seguridad de NordPass: nordpass.com/features/security. Cure53: cure53.de. ISE: securityevaluators.com. Todas las URL consultadas el 2026-04-30.