El cliente Android del mensajero Max se ha situado en el centro del debate en la comunidad de ciberseguridad tras un análisis de ingeniería inversa y de tráfico de red. La investigación ha identificado mecanismos internos capaces de obtener la IP pública del usuario, detectar el uso de VPN y comprobar la accesibilidad de servidores de Telegram y WhatsApp. La compañía niega que estos componentes se utilicen para rastrear la actividad de los usuarios y los presenta como funciones puramente técnicas.
Comportamiento de red: servicios de IP externa y consultas a Telegram y WhatsApp
El análisis comenzó cuando participantes de un foro especializado en seguridad interceptaron el tráfico del APK oficial de Max usando PCAPdroid en un emulador Android. Se observó que la aplicación realiza de forma periódica consultas a varios servicios de detección de IP pública, entre ellos api.ipify.org, checkip.amazonaws.com, ifconfig.me, así como recursos como ip.mail.ru y servicios de «Yandex».
En los volcados de tráfico también aparecieron peticiones a los dominios main.telegram.org y mmg.whatsapp.net. Este último es utilizado por WhatsApp para la descarga de contenido multimedia y, según la información pública disponible, se encuentra bloqueado. Para un mensajero de terceros, la presencia de tráfico dirigido explícitamente a infraestructura de Telegram y WhatsApp resulta atípica y ha despertado preocupación en el sector.
Ingeniería inversa: evento GET_HOST_REACHABILITY y envío de telemetría
Un análisis más profundo, ejecutado con mitmproxy en modo WireGuard, permitió descifrar el protocolo propietario de Max, basado en el formato binario MessagePack. Mediante un complemento específico, el investigador logró inspeccionar el contenido de las peticiones enviadas al servidor.
En los mensajes descifrados se identificó un tipo de evento denominado GET_HOST_REACHABILITY. Cuando se activa, el cliente Max remite al servidor api.oneme.ru un informe detallado que contiene, entre otros datos:
- la dirección IP externa del usuario;
- el tipo de conexión (Wi‑Fi o red móvil);
- el código PLMN del operador móvil (identificador de red);
- un indicador de uso de VPN, obtenido mediante la API estándar de Android NetworkCapabilities.TRANSPORT_VPN;
- el resultado de pruebas de accesibilidad a varios dominios, incluidos gosuslugi.ru, gstatic.com, main.telegram.org y mmg.whatsapp.net.
Para cada host se ejecutan dos comprobaciones: un ping ICMP y un intento de conexión TCP al puerto 443 (HTTPS). Esta combinación permite identificar no solo caídas generales de conectividad, sino también bloqueos selectivos o filtrado de tráfico cifrado, habituales en despliegues de inspección profunda de paquetes (DPI).
Lista de hosts incrustada, activación remota y posible detección de VPN
El análisis del código con JADX indica que la lista de hosts a monitorizar y las URL de servicios de IP están embebidas directamente en las clases de la aplicación. La IP externa se solicita de forma asíncrona a un conjunto mezclado de fuentes rusas y extranjeras, descartando explícitamente respuestas locales como 127.0.0.1.
Según las observaciones del investigador, el módulo se ejecuta cuando la aplicación se minimiza y vuelve a primer plano. Además, su activación puede controlarse desde el servidor mediante un flag remoto denominado host-reachability. Esta arquitectura permitiría, en teoría, activar o desactivar la recopilación de telemetría de forma selectiva por cuenta o región. Al viajar integrada en el protocolo propietario del mensajero y mezclarse con el tráfico principal, la telemetría resulta difícil de filtrar sin bloquear por completo el servicio.
Para qué puede servir esta telemetría desde el punto de vista técnico
Combinando los resultados de los distintos servicios de IP (rusos y extranjeros) con el indicador de VPN, es posible inferir si un usuario se conecta a través de un VPN comercial o de un servidor VPN privado. Si, por ejemplo, un servicio internacional informa de una IP en otro país mientras un servicio nacional detecta una IP rusa, la discrepancia puede utilizarse como señal de uso de túneles cifrados.
La comparación entre ping ICMP exitoso y fallos en TCP/443 ayuda, además, a evaluar la eficacia de sistemas de bloqueo tipo DPI: un escenario en el que la red responde a ping pero deniega conexiones HTTPS suele indicar filtrado a nivel de aplicación. Por otro lado, las comprobaciones periódicas contra dominios de Telegram y WhatsApp permiten elaborar estadísticas de accesibilidad de estas plataformas desde redes rusas y potencialmente identificar nodos VPN utilizados para eludir restricciones.
Respuesta oficial de Max: calidad de llamadas y notificaciones
Tras la publicación del análisis, representantes de Max declararon que estos mecanismos de telemetría se emplean exclusivamente para garantizar el funcionamiento correcto del servicio, en especial de las llamadas de voz y vídeo y de las notificaciones push. Según la empresa, los datos de IP serían necesarios para optimizar conexiones P2P mediante WebRTC y verificar la entrega de avisos a infraestructuras de Google y Apple, mientras que afirman que «no se realizan consultas» a servidores de Telegram ni de WhatsApp.
En su comunicado, la compañía subraya que las soluciones implementadas «no guardan relación con datos personales ni con el uso de otros servicios, incluidos los VPN». No obstante, hasta el momento no se han detallado públicamente aspectos clave como qué datos concretos se almacenan, durante cuánto tiempo, con qué finalidades exactas se procesan y bajo qué controles técnicos y organizativos.
Impacto en la privacidad y buenas prácticas para los usuarios
Incluso si se clasifica formalmente como «telemetría de servicio», un conjunto de datos que incluye IP pública, estado de VPN, identificador de operador móvil y accesibilidad de ciertos dominios sensibles permite perfilar de forma bastante precisa la huella de red de un usuario. En un contexto donde los mensajeros son un canal crítico de comunicación, la transparencia sobre estos mecanismos resulta esencial para mantener la confianza.
Para usuarios preocupados por su privacidad, se recomiendan varias medidas de ciberseguridad:
- supervisar la actividad de red de las aplicaciones mediante firewalls locales y herramientas de monitorización de tráfico en el dispositivo;
- emplear VPN con “split tunneling” por aplicación y protección frente a fugas de DNS e IP;
- priorizar, cuando sea posible, mensajeros de código abierto que se sometan a auditorías de seguridad independientes;
- mantener sistema operativo y apps actualizados para reducir exposición a vulnerabilidades conocidas.
La experiencia con el cliente Android de Max ilustra por qué es crucial examinar con detalle la telemetría de cualquier servicio de mensajería. Auditorías técnicas independientes, documentación clara de los datos recabados y una actitud abierta al escrutinio profesional son factores determinantes para la confianza. A los usuarios les corresponde adoptar una postura informada al elegir mensajeros y herramientas de protección de tráfico, equilibrando comodidad y funcionalidad con una evaluación realista de los riesgos para su privacidad y seguridad digital.
