MAX irrumpió en la agenda pública: algunos lo llaman «mensajero nacional», otros — «el gran hermano en el teléfono». Al final, alrededor de la aplicación hay un ruido informativo poco común: desde riesgos reales hasta conspiraciones. Vamos a ordenar esto con cuidado, sin pánico y sin fanatismo, apoyándonos en documentos disponibles y hechos observables —y con un conjunto de ajustes prácticos por si hace falta usarla.
Qué es MAX y para qué sirve
Oficialmente MAX se presenta como una plataforma universal de comunicación y servicios: chats personales y grupales, llamadas, miniaplicaciones y escenarios con bots para empresas y servicios estatales. Información básica y distribuciones —en el sitio oficial, y materiales técnicos e ingreso para integradores —en el portal para desarrolladores. Como «superapp», MAX pretende ser el punto de acceso a servicios estatales y comerciales, lo que es conveniente… y al mismo tiempo eleva las apuestas en materia de privacidad.
Adicionalmente se discute la exigencia de preinstalación en dispositivos nuevos y el estatus «nacional» —esto aumenta las sospechas: cuanto más profunda la integración, mayor el riesgo de abusos, sobre todo sin transparencia en la arquitectura y el cifrado.
Por qué surgió la desconfianza: cuatro desencadenantes principales
1. Política de privacidad y recopilación de datos
En la vigente política de privacidad se enumeran las categorías de datos recogidos: datos de registro (nombre, teléfono, fecha de nacimiento, avatar, etc.), datos técnicos (dirección IP, sistema operativo, tipo de navegador, proveedor), geolocalización, registros de actividad (clics y navegación en la interfaz), así como datos de la libreta de contactos si se concede acceso. El documento especifica la posibilidad de transferir información a terceros y a organismos estatales cuando existan fundamentos legales. Para el usuario esto significa: la correspondencia y el comportamiento en la aplicación no son una «caja negra», sino una realidad operativa donde por lo menos se recogen y procesan metadatos.
2. Incertidumbre sobre el cifrado de extremo a extremo
La cuestión más sensible es si MAX tiene un cifrado de extremo a extremo (E2EE) completo para los chats ordinarios. No hay aún una especificación pública, auditoría independiente ni una descripción transparente del protocolo. En medios y análisis de usuarios aparece a menudo la tesis de que MAX usa «el modelo clásico de sincronización en la nube», y no E2EE «por defecto». Dicho de otro modo: si el contenido de los mensajes se cifra y se almacena «en la nube», pero las claves y la lógica no están abiertas a verificación externa, el nivel de confianza depende solo de la confianza en el operador del servicio.
3. Preinstalación y vínculo con el ecosistema estatal
La preinstalación obligatoria, las integraciones con servicios estatales y otros servicios —son cómodas para los usuarios, pero para parte de la audiencia se perciben como una ampliación del perímetro de control. En la percepción pública preinstalación = «significa que van a mirar». Formalmente, la preinstalación es una política de distribución, no un «módulo de escucha» automático, pero sin transparencia técnica la inquietud aumenta.
4. Código cerrado y ausencia de auditoría independiente
MAX tiene código fuente cerrado y no ha publicado una criptodescripción pública para los chats ni resultados de una auditoría externa de seguridad. Esto no es una «prueba de culpabilidad», pero sí una razón importante para el escepticismo: sin verificación externa no se puede confirmar la correcta implementación del cifrado, el almacenamiento de claves, la ausencia de puertas traseras ni la resistencia ante incidentes.
Qué de esto es verdad y qué es mito
Verdades
- Los datos realmente se recopilan y pueden transferirse a terceros por fundamentos legales. Esto se desprende directamente de la política de privacidad. Incluye no solo datos de cuenta, sino metadatos de actividad, cookies y analítica.
- No existe una especificación pública transparente del cifrado de extremo a extremo para chats ordinarios. Aún no se ha publicado una descripción del protocolo en un nivel suficiente para la verificación externa. Para los usuarios esto significa incertidumbre: no se puede confirmar de forma independiente que «el contenido del chat sea inaccesible incluso para el proveedor».
- El riesgo de perfilado ampliado es mayor por ser una «superapp». Las integraciones de miniaplicaciones y bots aumentan el valor de una base de datos consolidada y aumentan la superficie de ataque: más puntos de contacto, más tokens, más motivos para ingeniería social. Es un riesgo sistémico de cualquier «superapp», no solo de MAX.
- La aplicación recopila metadatos de forma agresiva, como la mayoría de los mensajeros grandes. La diferencia está en el contexto de explotación: el almacenamiento de datos dentro de una sola jurisdicción y la posible integración con infraestructura estatal elevan los riesgos regulatorios.
Mitos y exageraciones
- «MAX lee todos los mensajes en tiempo real». Los detalles técnicos no lo confirman públicamente. Sin pruebas, es más una hipérbole. Pero lo importante es otra cosa: ante la ausencia de una arquitectura pública de E2EE, la confianza por defecto es menor. La conclusión no es «todo lo leen», sino «conviene comportarse como si pudieran leerlos» —y ajustar la higiene comunicativa en consecuencia.
- «La aplicación siempre escucha el micrófono y vigila la cámara». En iOS y Android el acceso a esos sensores se regula con permisos del sistema, hay indicadores de actividad y se puede otorgar acceso «solo durante la llamada» y revocarlo después. Revise los ajustes y desactive permisos permanentes —es una práctica básica de higiene digital.
- «Sin MAX pronto nada funcionará». La preinstalación y la promoción no son lo mismo que «monopolio del acceso a servicios». Sí, algunos escenarios serán más cómodos dentro de la «superapp», pero eso no significa que «todo lo demás se desconecte». Conviene seguir cambios regulatorios, pero no tiene sentido entrar en pánico prematuro.
MAX frente a mensajeros populares: guía rápida
| Criterio | MAX | Telegram | |
|---|---|---|---|
| Cifrado por defecto | No existe una especificación pública del cifrado de extremo a extremo (E2EE) para chats ordinarios; la transparencia es limitada. | En los chats ordinarios no hay E2EE; E2EE existe solo en «Chats secretos» ( Preguntas frecuentes). | Los mensajes personales y las llamadas tienen E2EE por defecto ( detalles). |
| Transparencia y auditoría | Código cerrado; no se ha presentado públicamente una auditoría independiente. | Clientes parcialmente abiertos, protocolo descrito, pero E2EE no está activado por defecto. | Código cerrado, pero el protocolo E2EE está documentado y la arquitectura ha sido ampliamente estudiada. |
| Recopilación de metadatos | Amplia (cuenta, dispositivo, geolocalización, actividad, cookies) —ver la política. | Modelos servidor-cliente para chats ordinarios — los metadatos se almacenan en servidores. | Se recopilan metadatos (como en la mayoría de mensajeros); el contenido de los chats está protegido por E2EE. |
| Programa de recompensas por errores | Se declara un programa público de recompensas; se presenta como un enfoque en la protección de usuarios. | Existen investigaciones independientes y análisis externos de vulnerabilidades. | Amplio historial de programas de bug bounty e investigaciones externas. |
Bien, ¿y cómo proceder si MAX es obligatorio (o «así sucedió»)
La estrategia sensata es simple: separe canales, minimice la huella, limite los accesos. A continuación, pasos que tienen sentido en escenarios cotidianos y de trabajo.
- Establezca restricciones estrictas del sistema. En iOS y Android desactive el acceso permanente a geolocalización, cámara, micrófono y Bluetooth. Permita solo «cuando se solicite» y durante la llamada. Verifique los indicadores de uso de los sensores.
- Desactive la importación de contactos. No conceda acceso a la libreta de contactos si no es imprescindible. Así reduce el volumen de relaciones subidas al servidor.
- Separe números y perfiles. Para mensajeros es útil tener un número separado (eSIM/segunda SIM) —y un perfil o espacio de trabajo aparte (en Android — «Perfil de trabajo») para delimitar datos y permisos.
- No envíe secretos en texto plano. Documentos o archivos sensibles transmítalos en un archivo cifrado (por ejemplo, 7-Zip con AES-256) y comunique la contraseña por otro canal. Es una higiene básica, pero eficaz.
- Minimice marcadores personales en el perfil. Si no es necesario, no indique fecha de nacimiento, lugar de trabajo, datos biométricos, «fotos oficiales», etc. Reduzca el daño potencial ante una filtración.
- Limpie con regularidad el historial y la caché de medios. Cuanto menos «sobrante» haya en el dispositivo y en la nube, menos se perderá en caso de compromiso de la cuenta o del teléfono.
- Vigile el phishing y a suplantadores de soporte técnico. No comparta códigos recibidos por SMS o confirmaciones push, y no siga «enlaces para protección». Los canales oficiales conviene verificarlos a través del sitio del servicio.
Lista de verificación rápida de ajustes ahora mismo
- Compruebe los permisos: cámara/micrófono/geolocalización — solo «cuando se solicite».
- Desactive el acceso a contactos y la sincronización automática de la libreta.
- Limpe la caché, configure la descarga automática de medios en «nunca/por Wi‑Fi/preguntar».
- Active el bloqueo de la aplicación con PIN/biometría (si está disponible en el sistema).
- Número separado/eSIM para el mensajero; en Android — perfil separado.
- Todos los archivos sensibles —solo en contenedores/archivos cifrados.
- Revise periódicamente las actualizaciones: los errores se corrigen y las políticas cambian.
