En marzo de 2025 la empresa VK presentó el mensajero MAX, que debía convertirse en la base de una «plataforma digital nacional» por analogía con el WeChat chino. Se preveía que esta aplicación uniría chats, bots, miniaplicaciones, servicios estatales y otros servicios en un ecosistema único. La Duma Estatal en junio aprobó una ley según la cual MAX debe preinstalarse en todos los teléfonos inteligentes y tabletas vendidos en Rusia a partir de septiembre.
Sin embargo, en lugar de un lanzamiento triunfal, el mensajero se encontró con una oleada de críticas por parte de expertos en seguridad de la información. Ya a las pocas semanas del lanzamiento comenzaron a aparecer en canales profesionales de Telegram mensajes alarmantes sobre posibles vulnerabilidades y violaciones de la privacidad. ¿Qué fue lo que provocó esa reacción y cuánto fundadas están las acusaciones contra la seguridad de MAX?
Principales acusaciones contra MAX
Fuga de datos al extranjero
La acusación más seria está relacionada con la sospecha de que MAX transmite datos de usuarios a servidores en el extranjero. El autor del canal de Telegram Scamshot afirma que con la última actualización el mensajero obtuvo acceso completo al portapapeles del teléfono y comenzó a recopilar información sobre todas las aplicaciones instaladas, y que esos datos supuestamente se envían fuera de Rusia.
Resulta especialmente irónico que el mensajero, presentado como «completamente nacional», utilice bibliotecas de «países no amistosos». En el código de MAX se detectó la biblioteca uCrop de Ucrania de la empresa Yalantis, así como componentes de Estados Unidos y Polonia. Los críticos lo llaman sarcásticamente «un mensajero nacional seguro con fuga de datos directamente hacia las oficinas de Dnipro».
Vigilancia de los usuarios
El análisis de la política de privacidad de MAX reveló una recopilación agresiva de metadatos. El mensajero almacena oficialmente direcciones IP, listas de contactos, horarios de actividad y otros datos de los usuarios. Además, esa información puede transferirse a terceros, incluidos organismos estatales.
La integración con el portal Gosuslugi desanonimiza por completo a los usuarios. Los expertos temen que MAX se convierta en una herramienta de vigilancia total, almacenando todas las conversaciones y proporcionando acceso a los servicios de seguridad a la primera petición. Sarkis Darbinian de Roskomsvoboda calificó el proyecto directamente como «un experimento loco con personas», que podría conducir a la creación de un sistema de calificación social al estilo chino.
Deficiencias técnicas
Los primeros usuarios se quejaron de fallos constantes al registrarse, bloqueos al subir fotografías y otros errores. A algunos les llevó hasta cuatro intentos conseguir la autorización. Aunque las actualizaciones mejoraron parcialmente la estabilidad, la funcionalidad siguió siendo limitada.
En MAX faltan configuraciones habituales de privacidad, autenticación en dos pasos y cifrado de extremo a extremo de los chats. No hay soporte para chats secretos ni mensajes autodestructivos: todo aquello que se considera normal en mensajeros protegidos.
Los investigadores también descubrieron que MAX es, de hecho, una versión renombrada del antiguo mensajero TamTam, que fue creado por Mail.ru para Odnoklassniki pero no alcanzó popularidad. Si esto es así, MAX heredaría todas las limitaciones arquitectónicas del predecesor.
Respuesta de los desarrolladores
Ante el aluvión de acusaciones, los representantes de VK emitieron refutaciones. La prensa oficial afirmó categóricamente: «Los datos de MAX se almacenan en centros de datos rusos y no se transfieren fuera de la Federación Rusa». Según la empresa, toda la infraestructura está ubicada en territorio ruso.
Respecto al uso de bibliotecas extranjeras, los desarrolladores reconocieron el hecho, pero subrayaron que cada componente pasa por una auditoría de seguridad exhaustiva. Describieron ese enfoque como una práctica internacional en la que confían Google, Microsoft, Yandex y otras grandes empresas.
Para aumentar la confianza, VK lanzó un programa de Bug Bounty con una recompensa máxima de hasta 5 millones de rublos por vulnerabilidades críticas. Es una suma bastante importante, comparable a las recompensas por vulnerabilidades 0-day en mensajeros de nivel mundial.
Paralelamente, en canales afines al gobierno apareció la versión de un ataque informativo deliberado contra MAX. Se afirma que competidores han desplegado una campaña de descrédito para impedir la independencia tecnológica de Rusia.
Reacción de la comunidad de seguridad
La comunidad profesional recibió a MAX con desconfianza desde el principio. El canal de Telegram Scamshot se convirtió en una de las principales fuentes de materiales críticos, publicando detalles técnicos sobre los problemas detectados.
Aleksei Lukatsky en su canal enumeró todas las «señales de alarma» identificadas y formuló irónicamente la pregunta a las autoridades sobre si entienden exactamente qué intentan imponer a los ciudadanos rusos. Su opinión es relevante, ya que el canal lo leen muchos especialistas del sector.
En foros y blogs la discusión trascendió el ámbito técnico. Los usuarios recordaron intentos fallidos anteriores de crear «análogos rusos» de mensajeros, bromeaban y expresaban escepticismo ante la transición forzada a MAX.
Los defensores de los derechos humanos criticaron con dureza la propia idea de un mensajero estatal. Advirtieron que para el paso masivo a MAX las autoridades podrían «asfixiar» a los servicios extranjeros, lo que conduciría a la monopolización de la comunicación en una sola aplicación controlada.
No obstante, hubo defensores del uso del código abierto. Señalaron que la mera presencia de una biblioteca de un desarrollador ucraniano no implica la existencia de una puerta trasera, ya que el código open source es transparente para su análisis.
Problemas de centralización y transparencia
MAX es un servicio centralizado controlado por un solo proveedor. Todos los datos de los usuarios convergen en los servidores de VK y son potencialmente accesibles para su monitorización. Según las leyes rusas, los operadores de comunicaciones están obligados a almacenar las conversaciones y a facilitarlas a los servicios de seguridad a solicitud.
La transparencia del proyecto deja que desear. Aunque MAX utiliza bibliotecas abiertas, el código fuente de la propia aplicación no se ha publicado. Verificar las declaraciones sobre seguridad solo es posible mediante la metodología de «caja negra», buscando vulnerabilidades.
La ley prevé la preinstalación obligatoria de MAX en todos los teléfonos inteligentes y tabletas a partir de septiembre de 2025. Esta obligatoriedad inquieta a muchos usuarios, que temen restricciones en el funcionamiento de mensajeros competidores.
Tabla resumida de acusaciones y respuestas
| Acusación | Respuesta de los desarrolladores |
|---|---|
| Fuga de datos a servidores en el extranjero | Refutación categórica. Se afirma que los datos se almacenan solo en centros de datos rusos |
| Vigilancia de usuarios mediante el portapapeles y recopilación de la lista de aplicaciones | No se dio una respuesta directa. Se afirma que no se recibieron quejas de usuarios |
| Uso de código extranjero procedente de «países no amistosos» | Reconocido, pero se afirmó que todos los componentes pasan por una auditoría exhaustiva. Se calificó como práctica internacional |
| Falta de licencias FSTEC/FSB del desarrollador | No se comentó oficialmente. Se lanzó el programa Bug Bounty como alternativa |
| Equipo de desarrollo reducido (2 personas) | Se subraya que detrás de MAX están los recursos de la gran empresa VK |
| Código fuente cerrado | Se propuso pruebas independientes mediante Bug Bounty en lugar de abrir el código |
| Problemas técnicos y funcionalidad limitada | Parcialmente reconocido. Las actualizaciones mejoraron la estabilidad; se planea desarrollar más funciones |
¿Y ahora qué?
La situación en torno a MAX mostró de manera evidente la importancia de la confianza y la transparencia en cuestiones de seguridad informática. Los primeros días en el mercado provocaron un serio daño reputacional. En la comunidad de seguridad MAX ya adquirió la imagen de una aplicación para vigilancia, y no de un mensajero neutral.
Los desarrolladores respondieron a las críticas con una mezcla de medidas defensivas y de intentos de mejora. El lanzamiento del Bug Bounty y la disposición a corregir errores son señales positivas. Sin embargo, para recuperar la confianza se necesitarán pasos adicionales: una auditoría independiente con publicación de resultados, la mejora de la política de privacidad y la obtención de certificaciones oficiales.
La publicación, aunque sea parcial, de parte del código fuente también podría aumentar considerablemente la transparencia. Por ahora, MAX sigue siendo, a ojos de muchos expertos, una solución potencialmente insegura, independientemente de sus cualidades reales.
La seguridad no es solo tecnología, sino también una categoría percibida. El apoyo estatal generó temor ante el aumento del control, y la promoción agresiva provocó rechazo en parte de la audiencia. Incluso con una implementación técnica impecable, estos factores exigirán un trabajo serio con la opinión pública.
Para un mensajero nacional que aspira al uso generalizado, una imagen negativa es inaceptable. Por tanto, es necesario corregir los errores de manera exhaustiva y pública. El tiempo dirá si MAX podrá superar la desconfianza y convertirse en una solución realmente segura y popular.
