Escribo esto directamente porque las cuestiones planteadas en el reciente informe de seguridad merecen una respuesta directa, no corporativa.
El 7 de mayo de 2026, el investigador de seguridad Andreas Makris publicó un informe detallado que identifica vulnerabilidades graves en los sistemas de manejo de datos, gestión de credenciales y diagnóstico remoto de Yarbo. Los principales hallazgos técnicos son precisos. Me gustaría agradecer al Sr. Andreas Makris por su trabajo en la identificación de estas cuestiones y por su persistencia en señalarlas a nuestra atención. También reconozco que nuestra respuesta inicial no reflejó adecuadamente la gravedad de los problemas que identificó. Como cofundador, soy responsable de lo que se envía en nuestros productos y soy responsable de la respuesta.
Nuestros equipos de ingeniería, productos, asuntos legales y atención al cliente están trabajando en la remediación como la máxima prioridad. Lo que sigue es mi relato de lo que se encontró, lo que ya hemos arreglado, lo que estamos arreglando activamente y lo que nos comprometemos a cambiar en la forma en que operamos en el futuro.
Según nuestra revisión preliminar, los problemas se relacionan principalmente con opciones de diseño históricas en partes de los sistemas de manejo de datos, gestión de acceso y diagnóstico remoto de Yarbo.
Específicamente, ciertas capacidades heredadas de soporte y mantenimiento no brindaban a los usuarios suficiente visibilidad o control, y algunos mecanismos de autenticación y administración de credenciales no cumplían con los estándares de seguridad que esperamos para los productos actuales.
También hemos identificado áreas donde los permisos de acceso, las configuraciones del sistema backend y los flujos de datos entre dispositivos y servicios en la nube requieren protecciones más sólidas y controles más estrictos.
Reconocemos la gravedad de estos problemas y las preocupaciones que pueden haber causado a nuestros clientes y a la comunidad. Nos disculpamos sinceramente por el impacto que ha creado esta situación y estamos comprometidos a abordar estos problemas de manera transparente y responsable.
Estamos fortaleciendo la seguridad del sistema reduciendo las rutas de acceso heredadas, reforzando los permisos y avanzando hacia credenciales a nivel de dispositivo totalmente auditables. Para dejar claro nuestro progreso de remediación, estamos separando las acciones ya tomadas del trabajo que está actualmente en progreso.
Lo que ya hemos hecho
En qué estamos trabajando ahora
Los servidores históricos y los canales de acceso heredados seguirán siendo eliminados uno por uno como parte de este proceso de remediación.
También estamos acelerando las actualizaciones de seguridad OTA y protecciones adicionales del lado del servidor. Se espera que la primera ola de actualizaciones comience a implementarse dentro de una semana. Importante: Se está enviando una actualización de firmware de seguridad a todos los dispositivos Yarbo. Para recibir esta actualización, conecte su Yarbo a Internet. Una vez que se haya aplicado la actualización, podrá volver a su configuración de red preferida. Si prefiere mantener su dispositivo fuera de línea mientras tanto, puede hacerlo sin afectar su garantía o cobertura de servicio. Te avisaremos cuando la actualización esté lista para que puedas conectarte brevemente para aplicarla.
Este esfuerzo de reparación no se limita a una única solución o actualización de software. Estamos utilizando este proceso para fortalecer la arquitectura de seguridad a largo plazo y los estándares de gobernanza detrás de nuestros productos.
Estos esfuerzos incluyen fortalecer los estándares de control de acceso, mejorar los modelos de autenticación y autorización, aumentar la visibilidad del usuario y el control sobre las funciones de diagnóstico remoto y reducir aún más los mecanismos de soporte heredados innecesarios en todos los sistemas e infraestructuras relacionados.
También continuaremos ampliando nuestros procesos internos de revisión, remediación y gobernanza de la seguridad para respaldar prácticas de seguridad más sólidas a largo plazo en el futuro. Nuestro objetivo es garantizar que la seguridad, la transparencia y la confianza del usuario sean la base de los futuros sistemas y servicios de Yarbo.
Algunos elementos del informe externo describen problemas de seguridad reales, mientras que otros requieren aclaración porque no se aplican a los productos Yarbo actualmente enviados o no representan vulnerabilidades de seguridad independientes.
Reinicio automático y persistencia de FRP
El informe también menciona que el cliente FRP puede reiniciarse mediante tareas programadas o mecanismos de recuperación del servicio. Reconocemos que esto puede dificultar la desactivación manual de los canales de acceso remoto, pero el problema central radica en la existencia, los permisos y la política del propio túnel remoto. Nuestra solución se centra en deshabilitar o restringir túneles, introducir listas de permitidos y auditabilidad, y eliminar rutas de acceso remoto persistentes e innecesarias.
Monitoreo de archivos y autorrecuperación
El informe menciona el comportamiento de monitoreo de archivos que puede restaurar ciertos archivos o servicios eliminados. Este mecanismo se diseñó originalmente como una medida defensiva de confiabilidad para evitar que los archivos de servicios críticos se eliminen o dañen accidentalmente. Por sí solo, no estaba destinado a funcionar como una función de acceso remoto.
Dicho esto, reconocemos que cualquier mecanismo que dificulte la eliminación de los componentes relacionados con el acceso remoto para los usuarios puede generar problemas de confianza. Estamos revisando qué archivos deben seguir protegidos y qué componentes deben eliminarse, simplificarse o ponerse bajo control del usuario.
Configuraciones históricas o de no producción
Algunos hallazgos involucran infraestructura histórica, servicios de nube heredados, personalizaciones específicas del distribuidor o configuraciones de prueba internas. Estos siguen bajo revisión y se están limpiando cuando sea necesario, pero deben distinguirse del comportamiento predeterminado de las unidades de producción enviadas actualmente.
Nuestro objetivo es ser precisos: no minimizaremos los problemas de seguridad confirmados, pero también queremos que los usuarios comprendan qué hallazgos se aplican a los dispositivos de producción, cuáles se aplican solo a configuraciones históricas o personalizadas y cuáles se están abordando como parte de esfuerzos de refuerzo más amplios.
Para mejorar los informes de seguridad en el futuro, estamos lanzando un canal de respuesta de seguridad dedicado y un proceso de contacto de seguridad para informes de vulnerabilidad y divulgación responsable:
seguridad@yarbo.com
El público también podrá encontrar nuestra información de contacto de seguridad en la página del Centro de seguridad de Yarbo en la sección «Explorar» de nuestro sitio web oficial.
También estamos explorando la posibilidad de establecer un programa formal de recompensas por errores como parte de nuestras iniciativas de seguridad más amplias a largo plazo.
Apreciamos el papel que desempeñan los investigadores de seguridad independientes a la hora de identificar de manera responsable problemas potenciales y seguimos comprometidos a fortalecer la seguridad, la transparencia y la confiabilidad de nuestros productos.
A medida que continúe el trabajo de investigación y remediación, proporcionaré más actualizaciones a medida que estén disponibles.
Kenneth Kohlman
Cofundador, Yarbo
Nueva York
