diario de seguridad

Diario de seguridad.

Publicamos los hallazgos después de corregirlos y verificarlos —un breve resumen, nunca una receta de exploit. Los tiempos de corrección figuran junto a cada entrada.

entradas

Qué ha pasado.

15 de julio de 2026

Revisión interna antes del lanzamiento del programa

El 15 de julio de 2026 iniciamos una revisión de seguridad interna de CreateYourVPN. Las correcciones que hemos completado y vuelto a verificar se publican a continuación; seguirán más a medida que se desplieguen y confirmen.

Equipo de CreateYourVPN
15 de julio de 2026

Añadida una salvaguarda contra una configuración cross-origin insegura

La configuración de production actual no permitía orígenes arbitrarios, pero el código permitía una combinación peligrosa de parámetros si un operador la configuraba mal. Esa combinación ahora se rechaza en el arranque y está cubierta por una prueba automatizada.

Equipo de CreateYourVPN
15 de julio de 2026

Reducida la superficie pública de la API de production

La documentación técnica interactiva de la API era accesible sin autenticación. No daba acceso a datos protegidos, pero facilitaba el estudio de la estructura interna de la API. En production la documentación ahora está desactivada, y sigue disponible en un entorno aislado para el desarrollo.

Equipo de CreateYourVPN
15 de julio de 2026

Claves criptográficas de la plataforma separadas por finalidad

Una revisión interna detectó que un mismo secreto se usaba para dos tareas criptográficas distintas. Esto no creaba ninguna elusión directa, pero ampliaba el alcance de una compromisión de la clave. Las dos finalidades se han separado y cada una se rota ahora de forma independiente.

Equipo de CreateYourVPN
15 de julio de 2026

Garantizado el borrado de la clave de gestión tras eliminar un servidor

El borrado de la clave de gestión cifrada se ejecutaba después de operaciones de red en segundo plano y podía no repetirse si esas operaciones fallaban. Desacoplamos el borrado de la clave de la cascada de red y añadimos un reintento garantizado. Los escenarios de servidor inaccesible y de proceso interrumpido están cubiertos por pruebas.

Equipo de CreateYourVPN
15 de julio de 2026

Eliminada una vía de autorización de la API de socios que no se usaba

La API admitía una vía de autorización adicional basada en cookie que la arquitectura server-side actual no necesitaba. No se encontró ningún ataque entre sitios en production, pero la vía adicional ampliaba la superficie para errores futuros. La API ahora usa un único método de autorización definido explícitamente, cubierto por pruebas negativas.

Equipo de CreateYourVPN
cómo leer el diario

Qué entra aquí.

publicamos

Resúmenes y cronologías

La esencia de un hallazgo, la clase de vulnerabilidad, la fecha del informe y la fecha de la corrección. Si un hallazgo refutó una afirmación SR — una corrección pública del informe.

no publicamos

Recetas de exploits

Instrucciones paso a paso, código PoC y detalles que ayudarían a atacar otros servidores antes de que todos actualicen.

¿Has encontrado algo?

Escríbenos con una prueba de concepto reproducible. Respondemos en un plazo de 72 horas y hacemos el triaje internamente.

security@createyourvpn.com/.well-known/security.txt · 90 días de silencio · puerto seguro