✨︎ Resumen (TL;DR):
- Cloudflare etiquetó el dominio de la plataforma rusa MAX como spyware por interceptar mensajes y recolectar datos.
- Investigadores encontraron 213 vulnerabilidades en la aplicación, la cual ya acumula 77.5 millones de usuarios.
- La designación expone a la app a ser eliminada de plataformas como la App Store de Apple y Google Play.
Cloudflare, uno de los mayores proveedores de infraestructura de internet, clasificó el dominio de la aplicación rusa MAX como spyware dentro de su plataforma Radar. La decisión responde a evidencias de que la herramienta ejecuta operaciones de recolección y transmisión encubierta de datos, lo que incluye la interceptación de mensajes, acceso a geolocalización y transferencia de información a terceros.
MAX es una aplicación de mensajería que funciona como una “súper app” para gestionar servicios gubernamentales, identificación digital, pago de facturas y citas médicas en Rusia.
Varios reportes confirmaron el 30 de abril que Cloudflare asignó esta categoría al dominio max.ru. Ante este tipo de alertas, tiendas como la App Store y Google Play suelen eliminar las aplicaciones vinculadas por violar las normas de privacidad.
Un historial de vulnerabilidades e imposición estatal
El historial de seguridad de la plataforma es deficiente. A diferencia de WhatsApp o Telegram, MAX carece de cifrado de extremo a extremo y almacena toda la información de los usuarios de manera exclusiva dentro de Rusia.
- En febrero, el Servicio Federal de Seguridad ruso (FSB) recomendó a sus soldados en Ucrania dejar de usar la plataforma debido a su falta de seguridad para la comunicación en el frente.
- En abril, investigadores de seguridad encontraron 213 vulnerabilidades a través de un programa de bug bounty, según reportó el medio Meduza.
La empresa VK lanzó la beta de la app en marzo de 2025. Para el 1 de septiembre de 2025, el gobierno ruso hizo obligatoria su preinstalación en todos los smartphones y tablets vendidos en el territorio.
Para forzar la adopción del sistema, el Kremlin restringió el tráfico de WhatsApp y Telegram, logrando que la aplicación alcanzara 77.5 millones de usuarios a principios de 2026. The New York Times reportó que VK está controlada por el Estado y vinculada a un socio cercano de Vladimir Putin.
El 9 de abril, Cloudflare aplicó una etiqueta similar a Telega, un cliente no oficial de Telegram. Sin embargo, retiró la advertencia cuando los desarrolladores entregaron documentación detallada sobre la arquitectura de su software. Aún se desconoce si el equipo de MAX intentará apelar la decisión.
La Fundación Anticorrupción, creada por el líder opositor ruso Alexei Navalny, destacó en redes sociales la decisión de Cloudflare. La clasificación de spyware impuesta por un gigante de la infraestructura web occidental detona un mayor escrutinio internacional sobre una plataforma que el gobierno de Bielorrusia también ha comenzado a implementar.
