Producto

Malwarebytes Privacy VPN una auditoría externa completa

por Malwarebytes Labs | 2 de abril de 2026
Una ilustración de servidores en la que se ve el VPN de Azire VPN

Para los más exigentes VPN de hoy en día, depende en gran medida de una promesa de privacidad que, con demasiada frecuencia, hace una empresa sin pruebas.  

Las políticas de no registro, los algoritmos de cifrado modernos, la negativa a almacenar información confidencial de los clientes y la propiedad total de los servidores son solo algunas de las características que contribuyen a la solidez VPN. Sin embargo, son precisamente esas características las que, a menudo, resultan imposiblesde verificar para cualquiercliente particular.  

Por eso es tan importante que VPN se sometan a una auditoría independiente, que permite a expertos externos en seguridad revisar el software y el hardware que una empresa ha desarrollado e implementado para gestionar su VPN . Al igual que una inspección de una vivienda que pone de manifiesto los signos de deterioro, una auditoríaVPN saca a la luz las vulnerabilidades de seguridad que pueden existir en una de las tecnologías de privacidad más importantes de la actualidad.  

Por ello, nos enorgullece haber participado en nuestra primera auditoría externa dela infraestructura que ahora da servicio tanto aMalwarebytes Privacy VPN AzireVPN, los dos VPN que gestionamos y mantenemos. Esta estructura dual es el resultado de nuestraadquisición de AzireVPN a finales de 2024. Ambos productos utilizan el mismo software y hardware de servidor para proporcionar a los clientes VPN y servicios de cifrado.

La auditoría del softwareVPN Malwarebytes Privacy VPNreveló lo siguiente:  

  • 2 incidencias clasificadas como «Críticas» 
  • 0 incidencias clasificadas como «Alta»  
  • 2 incidencias clasificadas como «Medias» 
  • 2 incidencias clasificadas como «Baja»  

La auditoría determinó la gravedad de los problemas —desde «Crítica» hasta «Baja»— mediante la asignación de puntuaciones técnicas que se ajustaban al Standard  Común de Puntuación de Vulnerabilidades Standard CVSS). Este sistema, utilizado en todo el sector, es empleado por investigadores de seguridad de todo el mundo para medir la gravedad de las vulnerabilidades detectadas en software, hardware y firmware. Cuanto mayor es la puntuación, mayor es la gravedad de la vulnerabilidad.  

Según el informe final:  

«En general, los sistemas presentan un alto nivel de seguridad y están bien preparados para proteger la privacidad de los usuarios, ya que parecen ofrecer un buen nivel de seguridad en comparación con sistemas de tamaño y complejidad similares. Durante nuestra evaluación, no observamos indicios de registro de la actividad de los usuarios, y el acceso a los sistemas está estrictamente controlado, sin que se haya detectado ningún acceso remoto, local o SSH innecesario. Aunque se identificaron algunas vulnerabilidades, la mayoría ya se han solucionado, incluida una de carácter crítico, y las restantes se encuentran en proceso de resolución».

Tal y como han señalado los auditores, nuestros ingenieros ya han solucionado una vulnerabilidad «crítica», dos vulnerabilidades «medias» y una vulnerabilidad «baja». Además, nuestro equipo está trabajando activamente para solucionar la única vulnerabilidad crítica y la única vulnerabilidad baja que quedan en la pila de software.

Los temas 

X41 D-Sec detectó dos problemas críticos. 

El primer problema crítico, que recibió una puntuación CVSS de 9,4, se refiere a la configuración inicial y al funcionamiento de los servidores que Malwarebytes para su VPN.  

Al conectar un nuevo servidor a la red, Malwarebytes descargue e instale lo que se conoce como una «imagen de Debian». Se trata simplemente de un archivo descargable que instala el sistema operativo Debian en un equipo físico. Es un proceso que se repite innumerables veces cada día en todo el mundo informático para permitir una implementación rápida, fiable y distribuida de equipos en una red.  

Los investigadores descubrieron que, aunque la imagen de Debian se descargó desde una URL segura, no se había validado la firma de un pequeño fragmento de datos verificados —denominado «suma de comprobación»— mediante la clave de firma del CD de Debian.  

Las firmas son fundamentales en el mundo del software, ya que demuestran que un programa que se ha descargado en un dispositivo es realmente el programa publicado por su desarrollador. Sin una verificación adecuada de la firma, un atacante podría distribuir una versión modificada de un programa y, aun así, engañar al ordenador para que crea que es legítimo.  

Somos conscientes de la gravedad de esta vulnerabilidad y ya hemos aplicado una solución.

El segundo problema crítico, que recibió una puntuación CVSS de 9,3, también tiene que ver con el comportamiento de VPN Malwarebytesal iniciarse el sistema.  

Para conectarse a Internet, VPN Malwarebytesutilizan el entorno de ejecución previo al arranque (PXE) para Linux, que permite la distribución e instalación de archivos de arranque a través de una red, en lugar de arrancar desde archivos locales. Los investigadores de seguridad advirtieron que este proceso «carece de cualquier tipo de firma criptográfica, por lo que un ataque de tipo “man-in-the-middle” podría dar lugar a que el código del atacante se ejecute en el sistema del cliente».  

Un ataque de este tipo requeriría un acceso físico considerable a los servidores de nuestros centros de datos. No obstante, somos conscientes de la importancia de esta vulnerabilidad y estamos trabajando para solucionarla.

Las otras cuatro vulnerabilidades revelaron la posibilidad de ataques de repetición, uso indebido del reenvío de puertos, tráfico observable y un oráculo de relleno que puede ser objeto de abuso con la suficiente persistencia. Tres de esas vulnerabilidades —relacionadas con los ataques de repetición, el tráfico observable y el oráculo de relleno— ya se han solucionado, y nuestro equipo también está trabajando en una solución para la última vulnerabilidad.  

Privacidad transparente 

Existe la creencia errónea de que proteger la privacidad en Internet significa que uno tiene algo que ocultar. Para un VPN como Malwarebytes, la realidad es todo lo contrario: ayudamos a las personas a proteger su privacidad en Internet mostrándoles en qué aspectos podemos mejorar. 

No todas las empresas se someten a una auditoría externa, ni todas estarían dispuestas a compartir los resultados de dicha auditoría. De hecho, según los informes, el 77 % de Android presentaban deficiencias importantes en materia de transparencia y rendición de cuentas, un dato que las propias VPN rara vez revelan.

Pero lo más importante en esta iniciativa, y para nosotros, no es el ego. Lo más importante es tu privacidad. Con estos resultados, esperamos que puedas tomar una decisión más acertada y fundamentada sobre en quién puedes confiar tu tráfico y tu actividad en Internet.  

Malwarebytes la empresa de pruebas de penetración X41 D-Sec por llevar a cabo su auditoría, así como a los investigadores de seguridad que han participado en ella: Djamal Touazi, JM, Markus Vervier, Robert Femmer y Eric Sesterhenn.  

A continuación puedes leer el informe de auditoría completo.

X41-DSec-Auditoría-AzireVPN-PúblicoDescargar

No nos limitamos a informar sobre la privacidad: le ofrecemos la opción de utilizarla.

Los riesgos Privacy nunca deben ir más allá de un titular. Mantenga su privacidad en línea utilizando Malwarebytes Privacy VPN.

Acerca del autor

Malwarebytes Labs

Malwarebytes Labs

ÚLTIMOS ARTÍCULOS

Estafas
Una mujer busca trabajo en su ordenador portátil; en la pantalla se ve su currículum

¿Esa oferta de trabajo de ensueño de Coca-Cola o Ferrari? Es una trampa para tus contraseñas

Abril 3, 2026

Hemos descubierto dos estafas de empleo que se hacían pasar por ofertas legítimas de Coca-Cola y Ferrari y que podían acceder a Facebook de Google y Facebook .

Familia y crianza de los hijos
los jóvenes que se pasan el día navegando por las redes sociales en busca de noticias alarmistas

Impedir que los niños accedan a las redes sociales es una buena idea mal llevada a cabo

Abril 3, 2026

Cada gobierno está ideando su propia versión de una restricción de edad para las redes sociales. ¿Es el remedio peor que la enfermedad?

Móvil
iPhone mostrando el logotipo de Apple

Apple amplía los parches «DarkSword» a iOS .7.7

Abril 2, 2026

Apple ha ampliado discretamente los parches contra las vulnerabilidades del kit de explotación DarkSword para incluir iOS iPadOS 18.7.7

Icono de colaborador

Colaboradores

Icono del Centro de Amenazas

Centro de amenazas

Icono Podcasts

Podcast

Icono del glosario

Glosario

Icono de estafa

Estafas