Escribo esto directamente porque las cuestiones planteadas en el último informe de seguridad merecen una respuesta directa, no institucional.
El 7 de mayo de 2026, el investigador de seguridad Andreas Makris publicó un informe detallado que identifica vulnerabilidades críticas en los sistemas de procesamiento de datos, gestión de credenciales y diagnóstico remoto de Yarbo. Los resultados técnicos básicos son precisos. Me gustaría agradecer al Sr. Andreas Makris por su trabajo en la identificación de estas cuestiones y por su persistencia en señalarlas a nuestra atención. También reconoció que nuestra respuesta inicial no reflejaba adecuadamente la gravedad de los problemas que identificó. Como cofundador, soy responsable de lo que se incluye en nuestros productos y soy responsable de la capacidad de respuesta.
Nuestros equipos de ingeniería, productos, asuntos legales y atención al cliente tratan la remediación como una máxima prioridad. Lo que sigue es mi relato de lo que encontramos, lo que ya hemos arreglado, lo que estamos arreglando activamente y lo que nos comprometemos a cambiar en la forma en que trabajamos en el futuro.
Según nuestra revisión inicial, los problemas se relacionan principalmente con opciones de diseño históricas en partes de los sistemas de procesamiento de datos, gestión de acceso y diagnóstico remoto de Yarbo.
Específicamente, algunas capacidades heredadas de soporte y mantenimiento no brindaron a los usuarios suficiente visibilidad o control, y algunos mecanismos de autenticación y administración de credenciales no cumplieron con los estándares de seguridad que esperamos para los productos actuales.
También hemos identificado áreas donde los permisos de acceso, las configuraciones del sistema backend y los flujos de datos entre dispositivos y servicios en la nube requieren una protección más sólida y controles más estrictos.
Reconocemos la gravedad de estos problemas y las preocupaciones que pueden causar a nuestros clientes y a la comunidad. Pedimos disculpas sinceras por el impacto que ha tenido esta situación y estamos comprometidos a abordar estos problemas de manera transparente y responsable.
Estamos fortaleciendo la seguridad del sistema reduciendo las rutas de acceso heredadas, reforzando los permisos y avanzando hacia credenciales totalmente auditables a nivel de dispositivo. Para ilustrar el progreso que hemos logrado en el proceso de reforma, separamos las acciones que ya se han tomado del trabajo actualmente en curso.
Lo que ya hemos hecho
En qué estamos trabajando ahora
Los servidores históricos y los canales de acceso heredados seguirán siendo eliminados uno por uno como parte de esta revisión.
También estamos trabajando para acelerar las actualizaciones de seguridad inalámbricas y la protección adicional del lado del servidor. Se espera que la primera ola de actualizaciones comience dentro de una semana. importante: La actualización del firmware de seguridad ahora se está enviando a todos los dispositivos Yarbo. Para recibir esta actualización, conecte su Yarbo a Internet. Una vez que se aplica la actualización, puede volver a su configuración de red preferida. Si prefiere mantener su dispositivo fuera de línea mientras tanto, puede hacerlo sin afectar su garantía o cobertura de servicio. Te avisaremos cuando la actualización esté lista para que puedas conectarte brevemente para aplicarla.
Este esfuerzo de reparación no se limita a una única solución o actualización de software. Utilizamos este proceso para mejorar la arquitectura de seguridad y los estándares de gestión a largo plazo de nuestros productos.
Estos esfuerzos incluyen mejorar los estándares de control de acceso, mejorar los modelos de autenticación y autorización, aumentar la visibilidad del usuario y el control de las funciones de diagnóstico remoto y continuar reduciendo los mecanismos de soporte heredados innecesarios en todos los sistemas e infraestructuras relacionados.
También continuaremos ampliando nuestros procesos internos de revisión, remediación y gobernanza de la seguridad para respaldar prácticas de seguridad más sólidas a largo plazo en el futuro. Nuestro objetivo es garantizar que la seguridad, la transparencia y la confianza del usuario sean la base de los futuros sistemas y servicios de Yarbo.
Algunos elementos del informe externo describen problemas de seguridad reales, mientras que otros requieren aclaración porque no se aplican a los productos Yarbo actualmente enviados o no representan vulnerabilidades independientes.
Reinicio automático y estabilidad de FRP.
El informe también menciona que el cliente FRP puede reiniciarse mediante tareas programadas o mecanismos de recuperación del servicio. Sabemos que esto puede dificultar la desactivación manual de los canales de acceso remoto, pero el problema subyacente es la existencia, los permisos y la política del propio túnel remoto. Nuestro remedio se centra en deshabilitar o restringir túneles, proporcionar listas de permitidos y auditabilidad, y eliminar rutas de acceso remoto persistentes e innecesarias.
Supervisión de archivos y autorrecuperación
El informe indica un comportamiento de monitoreo de archivos que puede restaurar algunos archivos o servicios eliminados. Este mecanismo se diseñó originalmente como una medida defensiva de confiabilidad para evitar que los archivos de servicios críticos se eliminen o dañen accidentalmente. Por sí solo, no estaba destinado a funcionar como una función de acceso remoto.
Sin embargo, reconocemos que cualquier mecanismo que dificulte a los usuarios eliminar componentes relacionados con el acceso remoto puede generar problemas de confianza. Revisamos qué archivos deben seguir protegidos y qué componentes deben eliminarse, simplificarse o ponerse bajo control del usuario.
Formaciones históricas o no productivas
Algunos resultados incluyen infraestructura histórica, servicios de nube heredados, personalizaciones específicas de proveedores o configuraciones de pruebas internas. Estos permanecen bajo revisión y se limpian según sea necesario, pero deben diferenciarse del comportamiento predeterminado de las unidades de producción enviadas actualmente.
Nuestro objetivo es ser precisos: no restaremos importancia a los problemas de seguridad comprobados, pero también queremos que los usuarios comprendan qué hallazgos se aplican a los dispositivos de producción, cuáles se aplican solo a configuraciones históricas o personalizadas y cuáles se están abordando como parte de esfuerzos de refuerzo más amplios.
Para mejorar los informes de seguridad en el futuro, estamos lanzando un canal de respuesta de seguridad dedicado y un proceso de comunicación de seguridad para informes de vulnerabilidad y divulgación responsable:
Seguridad@yarbo.com
El público también podrá encontrar nuestra información de contacto de seguridad en el sitio web. Centro de seguridad Yarbo La página se encuentra en la sección «Explorar» de nuestro sitio web oficial.
También estamos explorando la posibilidad de crear un programa formal de recompensas por errores como parte de nuestras iniciativas de seguridad más amplias y a largo plazo.
Valoramos el papel que desempeñan los investigadores de seguridad independientes a la hora de identificar de manera responsable problemas potenciales y seguimos comprometidos a mejorar la seguridad, la transparencia y la confiabilidad de nuestros productos.
A medida que continúen los trabajos de investigación y reparación, proporcionaré más actualizaciones a medida que estén disponibles.
Kenneth Coleman
Cofundador, Yarbo
Nueva York
(Etiquetas para traducción) Noticias técnicas