La confianza en los servicios de privacidad digital se basa hoy en evidencia y no en promesas. Malwarebytes anunció la finalización de su primera auditoría externa e independiente de la infraestructura que soporta Malwarebytes Privacy VPN y AzireVPN, tras integrar AzireVPN en su organización a finales de 2026. El informe, realizado por la firma alemana X41 D-Sec, examina tanto el código como la configuración de servidores y proporciona información técnica que confirma la ausencia de indicios de registro de actividad de usuarios, es decir, la política conocida como no-logs.
El alcance del trabajo fue amplio: X41 D-Sec recibió acceso completo a las aplicaciones en Windows, macOS, iOS y Android, así como a la red global de servidores diseñados para operar en modo RAM-only o sin disco. La auditoría—realizada entre diciembre de 2026 y enero de 2026—combinó revisiones de código fuente con pruebas de penetración de tipo white-box, es decir, con visión completa de la arquitectura interna, y evaluaciones físicas de los equipos en el terreno para valorar riesgos de manipulación directa.
Qué se examinó y cómo
Los auditores llevaron a cabo una batería de pruebas que incluyó análisis de la cadena de suministro de imágenes de sistema, revisión de procesos de arranque y evaluación de los mecanismos de cifrado y autenticación utilizados en el plano de control de los relays. La inspección técnica buscó verificar la coherencia entre la arquitectura técnica y la política de privacidad: por ejemplo, comprobaron que las imágenes de servidor deshabilitan el registro y que el acceso remoto innecesario está bloqueado.
La combinación de software, hardware y pruebas de configuración permitió detectar vectores que no son visibles en un escaneo superficial.
Metodología en detalle
La metodología involucró acceso completo a fuentes y configuraciones, pruebas automatizadas y manuales, y un componente físico de ataque sobre los servidores. En particular, X41 D-Sec empleó técnicas para evaluar la integridad del arranque, la validez de firmas criptográficas en imágenes instaladas y la resistencia a manipulaciones físicas de componentes como chips BIOS o interfaces internas.
El informe utiliza además el sistema CVSS para puntuar la gravedad de las vulnerabilidades detectadas, aportando contexto técnico a cada hallazgo.
Hallazgos principales
El resultado principal fue doble: por un lado, no se encontró evidencia de registro de actividad de usuarios, lo que respalda la promesa no-logs; por otro lado, la auditoría identificó varias vulnerabilidades en distintos niveles. Según el análisis de X41 D-Sec, existieron problemas de diversa gravedad, incluyendo vulnerabilidades clasificadas como críticas, así como fallos de severidad media y baja. Malwarebytes colaboró con los auditores para corregir la mayor parte de los problemas, y comunicó las correcciones ya implementadas así como las que todavía están en proceso.
Detalles críticos y técnicos
Entre los fallos más relevantes figuraron dos vectores críticos: uno relacionado con la verificación de la firma del checksum de las imágenes Debian descargadas para desplegar servidores, puntuado con CVSS 9.4, y otro vinculado al proceso de arranque por red (PXE) sin verificación criptográfica de los archivos de arranque, con CVSS 9.3. En términos prácticos, estas debilidades podrían facilitar ataques de suplantación en escenarios de compromiso de la cadena de suministro o acceso físico a la infraestructura. Además, se documentaron problemas en el uso de AES-CBC sin autenticación adecuada en comunicaciones internas, y vectores que permitían ataques físicos como extracción del chip BIOS o técnicas de DMA pre-boot para volcar memoria.
Remediación y significado para usuarios
Malwarebytes informó que ya ha corregido una de las vulnerabilidades críticas y varias de mediana y baja gravedad, y que trabaja en resolver el resto, incluida la segunda falla crítica relacionada con PXE. El informe también destaca prácticas positivas: servidores configurados para no almacenar registros, acceso remoto limitado y controles estrictos de acceso. Para los usuarios esto supone una mayor transparencia y reduce el margen de duda frente a proveedores que no someten sus sistemas a revisiones externas; la auditoría es, en suma, una evidencia técnica que refuerza la promesa de privacidad.
Conclusión
La auditoría de X41 D-Sec ofrece a usuarios y profesionales una visión clara de la postura de seguridad de la plataforma: confirma la ausencia de indicios de registro de actividad y al mismo tiempo ofrece una hoja de ruta de mejoras al identificar vulnerabilidades reales. La apertura a la revisión externa, la corrección de fallos y la publicación de resultados son pasos que elevan los estándares en el sector VPN y proporcionan información útil para quienes valoran la privacidad y la seguridad de su tráfico en línea.
