Diario de seguridad.
Publicamos los hallazgos después de corregirlos y verificarlos —un breve resumen, nunca una receta de exploit. Los tiempos de corrección figuran junto a cada entrada.
Qué ha pasado.
Revisión interna antes del lanzamiento del programa
El 15 de julio de 2026 iniciamos una revisión de seguridad interna de CreateYourVPN. Las correcciones que hemos completado y vuelto a verificar se publican a continuación; seguirán más a medida que se desplieguen y confirmen.
— Equipo de CreateYourVPNAñadida una salvaguarda contra una configuración cross-origin insegura
La configuración de production actual no permitía orígenes arbitrarios, pero el código permitía una combinación peligrosa de parámetros si un operador la configuraba mal. Esa combinación ahora se rechaza en el arranque y está cubierta por una prueba automatizada.
— Equipo de CreateYourVPNReducida la superficie pública de la API de production
La documentación técnica interactiva de la API era accesible sin autenticación. No daba acceso a datos protegidos, pero facilitaba el estudio de la estructura interna de la API. En production la documentación ahora está desactivada, y sigue disponible en un entorno aislado para el desarrollo.
— Equipo de CreateYourVPNClaves criptográficas de la plataforma separadas por finalidad
Una revisión interna detectó que un mismo secreto se usaba para dos tareas criptográficas distintas. Esto no creaba ninguna elusión directa, pero ampliaba el alcance de una compromisión de la clave. Las dos finalidades se han separado y cada una se rota ahora de forma independiente.
— Equipo de CreateYourVPNGarantizado el borrado de la clave de gestión tras eliminar un servidor
El borrado de la clave de gestión cifrada se ejecutaba después de operaciones de red en segundo plano y podía no repetirse si esas operaciones fallaban. Desacoplamos el borrado de la clave de la cascada de red y añadimos un reintento garantizado. Los escenarios de servidor inaccesible y de proceso interrumpido están cubiertos por pruebas.
— Equipo de CreateYourVPNEliminada una vía de autorización de la API de socios que no se usaba
La API admitía una vía de autorización adicional basada en cookie que la arquitectura server-side actual no necesitaba. No se encontró ningún ataque entre sitios en production, pero la vía adicional ampliaba la superficie para errores futuros. La API ahora usa un único método de autorización definido explícitamente, cubierto por pruebas negativas.
— Equipo de CreateYourVPNQué entra aquí.
Resúmenes y cronologías
La esencia de un hallazgo, la clase de vulnerabilidad, la fecha del informe y la fecha de la corrección. Si un hallazgo refutó una afirmación SR — una corrección pública del informe.
Recetas de exploits
Instrucciones paso a paso, código PoC y detalles que ayudarían a atacar otros servidores antes de que todos actualicen.
¿Has encontrado algo?
Escríbenos con una prueba de concepto reproducible. Respondemos en un plazo de 72 horas y hacemos el triaje internamente.