Escribo esto directamente porque las cuestiones planteadas en informes de seguridad recientes merecen una respuesta inmediata, no una respuesta corporativa.
El 7 de mayo de 2026, el investigador de seguridad Andreas Makris publicó un informe detallado que identifica vulnerabilidades graves en los sistemas de diagnóstico remoto, gestión de credenciales y manejo de datos de Yarbo. Los principales hallazgos técnicos son precisos. Me gustaría agradecer al señor Andreas Makris sus esfuerzos por identificar estas cuestiones y su persistencia en señalarlas a nuestra atención. También me di cuenta de que nuestra respuesta inicial no reflejaba adecuadamente la gravedad de los problemas que él identificó. Como cofundador, soy responsable de lo que se entrega en nuestro producto y soy responsable de la respuesta.
Nuestros equipos técnicos, de productos, legales y de atención al cliente hacen de la remediación la máxima prioridad. Lo que sigue es mi explicación de lo que descubrimos, lo que hemos mejorado, lo que estamos mejorando activamente y nuestro compromiso de cambiar la forma en que operamos en el futuro.
Según nuestra revisión inicial, estos problemas se relacionan principalmente con opciones de diseño históricas en partes de los sistemas de manejo de datos, gestión de acceso y diagnóstico remoto de Yarbo.
En particular, cierto soporte y capacidad de mantenimiento heredados no brindan suficiente visibilidad o control a los usuarios, y algunos mecanismos de autenticación y administración de credenciales no cumplen con los estándares de seguridad que esperamos para los productos actuales.
También hemos identificado áreas donde los permisos de acceso, la configuración del sistema backend y el flujo de datos entre dispositivos y servicios en la nube requieren una protección más sólida y controles más estrictos.
Reconocemos la gravedad de este problema y las preocupaciones que puede causar a nuestros clientes y a la comunidad. Pedimos disculpas sinceras por el impacto que ha tenido esta situación y nos comprometemos a abordar este problema de manera transparente y responsable.
Reforzamos la seguridad del sistema reduciendo las rutas de acceso heredadas, reforzando los permisos y pasando a credenciales a nivel de dispositivo totalmente auditables. Para aclarar nuestro progreso de remediación, separamos las acciones ya tomadas del trabajo en progreso.
Lo que hemos hecho
En qué estamos trabajando ahora mismo
Los servidores históricos y los canales de acceso heredados se seguirán eliminando uno por uno como parte de este proceso de corrección.
También estamos acelerando las actualizaciones de seguridad OTA y protección adicional del lado del servidor. Se espera que la primera ola de actualizaciones comience a implementarse dentro de una semana. Importante: Se está aplicando una actualización de firmware de seguridad a todos los dispositivos Yarbo. Para recibir estas actualizaciones, conecte su Yarbo a Internet. Una vez que se aplica la actualización, puede volver a su configuración de red preferida. Si elige dejar su dispositivo fuera de línea por un tiempo, puede hacerlo sin afectar su garantía o cobertura de servicio. Te avisaremos cuando la actualización esté lista para que puedas conectarte un momento para aplicarla.
Estos esfuerzos de reparación no se limitan a una única solución o actualización de software. Utilizamos este proceso para fortalecer la arquitectura de seguridad a largo plazo y los estándares de gobernanza detrás de nuestros productos.
Estos esfuerzos incluyen fortalecer los estándares de control de acceso, mejorar los modelos de autenticación y autorización, aumentar la visibilidad del usuario y el control sobre las funciones de diagnóstico remoto y reducir aún más los mecanismos de soporte heredados innecesariamente en todos los sistemas y la infraestructura relacionada.
También continuaremos ampliando nuestros procesos internos de revisión, remediación y gobernanza de la seguridad para respaldar prácticas de seguridad más sólidas y a largo plazo en el futuro. Nuestro objetivo es garantizar que la seguridad, la transparencia y la confianza del usuario sean la base de los futuros sistemas y servicios de Yarbo.
Algunos elementos del informe externo describen problemas de seguridad reales, mientras que otros requieren aclaración porque no se aplican a los productos Yarbo enviados actualmente o no representan vulnerabilidades de seguridad independientes.
Reinicio automático y persistencia de FRP
El informe también menciona que los clientes FRP pueden reiniciarse mediante tareas programadas o mecanismos de recuperación de servicios. Reconocemos que esto puede dificultar la desactivación manual de los canales de acceso remoto, pero el problema central radica en la existencia, los permisos y las políticas del propio túnel remoto. Nuestra solución se centra en deshabilitar o limitar túneles, implementar listas de permisos y capacidades de auditoría, y eliminar puntos de acceso remoto persistentes innecesarios.
Monitoreo de archivos y autorrecuperación
El informe menciona el comportamiento de monitoreo de archivos que puede recuperar ciertos archivos o servicios eliminados. Este mecanismo se diseñó originalmente como una medida defensiva de confiabilidad para evitar que los archivos de servicios críticos se eliminen o dañen accidentalmente. Por sí solo, no pretende funcionar como una función de acceso remoto.
Por lo tanto, reconocemos que cualquier mecanismo que dificulte la eliminación de componentes relacionados con el acceso remoto puede generar problemas de confianza. Estamos revisando qué archivos deben seguir protegidos y qué componentes deben eliminarse, simplificarse o ponerse bajo control del usuario.
Configuración histórica o de no producción
Algunos hallazgos involucran infraestructura histórica, servicios de nube heredados, personalizaciones específicas del distribuidor o configuraciones de prueba internas. Esto todavía está bajo revisión y se está limpiando si es necesario, pero debe diferenciarse del comportamiento predeterminado de las unidades de producción que se envían actualmente.
Nuestro objetivo es preciso: no minimizaremos los problemas de seguridad confirmados, pero también queremos que los usuarios comprendan qué hallazgos se aplican a los dispositivos de producción, cuáles solo se aplican a configuraciones históricas o personalizadas y cuáles se están abordando como parte de un esfuerzo de refuerzo más amplio.
Para mejorar los informes de seguridad en el futuro, lanzamos un canal de respuesta de seguridad dedicado y un proceso de contacto de seguridad para informes de vulnerabilidad y divulgación responsable:
seguridad@yarbo.com
El público también podrá encontrar nuestra información de contacto de seguridad en Centro de seguridad Yarbo página en la sección “Explorar” de nuestro sitio web oficial.
También estamos explorando la posibilidad de establecer un programa formal de recompensas por errores como parte de nuestras iniciativas de seguridad más amplias a largo plazo.
Valoramos el papel de los investigadores de seguridad independientes a la hora de identificar posibles problemas de forma responsable y seguimos comprometidos con fortalecer la seguridad, la transparencia y la confianza en nuestros productos.
A medida que continúen los esfuerzos de investigación y remediación, proporcionaré más actualizaciones a medida que estén disponibles.
Kenneth Kohlman
Uno de los fundadores, Yarbo.
Nueva York
