Introducción
X-VPN recibió recientemente un informe que describe un escenario de sideloading de DLL en el cliente de Windows que se aplica solo a copias manipuladas y reempaquetadas obtenidas de fuentes no oficiales, no a los usuarios que descargaron X-VPN desde nuestra página oficial de descarga de Windows o Microsoft Store. Basado en nuestra propia investigación, no hemos encontrado evidencia de que los usuarios de X-VPN fueran objetivo o comprometidos a través de este escenario, y hemos implementado medidas de endurecimiento en X-VPN para la versión 77.5.3 de Windows. Se anima a todos los usuarios de Windows a actualizar a esta versión a la brevedad posible.
En el espíritu de transparencia y responsabilidad, compartiremos los detalles del informe, su alcance real y las acciones que hemos tomado.
Table of Contents
Cronograma de Respuesta
- 18 de mayo de 2026 — El equipo de investigación de amenazas de Howler Cell en Cyderes informó del problema al equipo de seguridad de X-VPN.
- 20 de mayo de 2026 — X-VPN reconoció la recepción del informe y escaló el problema para una investigación interna y remediación.
- 28 de mayo de 2026 — X-VPN lanzó la versión 77.5.3 para Windows, que incluye las medidas de endurecimiento descritas en esta declaración.
Hallazgos clave
Basado en una verificación centrada en el cumplimiento, llegamos a las siguientes conclusiones:
El cliente oficial de X-VPN para Windows es seguro.
- Los usuarios que descargaron X-VPN desde nuestra página oficial de descarga de Windows o Microsoft Store no se ven afectados por el escenario de paquete manipulado reportado. El ataque se aplica solo a los usuarios que ejecutan una versión manipulada y reempaquetada de X-VPN obtenida de fuentes no oficiales, como sitios de phishing, foros piratas o enlaces de descarga no solicitados.
No se ha identificado explotación confirmada en la naturaleza de X-VPN.
- Basado en nuestra propia investigación independiente, no hemos encontrado evidencia de que los usuarios de X-VPN fueran objetivo o comprometidos a través de este escenario. Los investigadores que informaron también han indicado que sus hallazgos se derivaron del análisis de inteligencia de amenazas y la ingeniería inversa de la infraestructura del atacante, en lugar de casos de víctimas observados.
Este informe no implica ninguna violación de los servidores, infraestructura o encriptación de X-VPN.
- El problema no se puede activar de forma remota ni a través del uso normal de la red de X-VPN. No se han comprometido datos de usuarios, cuentas, credenciales ni tráfico de VPN en el lado de X-VPN.
No aplicable a ninguna otra plataforma X-VPN.
- Este informe se refiere únicamente al cliente de Windows. Los clientes de X-VPN en otras plataformas, incluyendo iOS, Android, macOS, Linux, Chrome Extension, TV, Router, Chromebook y Game Console, están construidos sobre arquitecturas completamente diferentes que no utilizan la carga de DLL de Windows. Estas plataformas no se ven afectadas por este informe.
Se ha implementado un endurecimiento adicional en X-VPN para la versión 77.5 de Windows.3
- Aunque el cliente oficial de X-VPN no estaba en riesgo por este informe, hemos implementado protecciones adicionales de defensa en profundidad para fortalecer el cliente contra esta categoría de ataque. Esta versión ya está disponible y se anima a todos los usuarios de Windows a actualizar.
X-VPN ha clasificado este informe como un problema de alta gravedad, no crítico.
- La clasificación refleja tres factores: el problema no puede ser activado de forma remota o a través del uso normal de X-VPN; el cliente oficial de X-VPN no se ve afectado por la ruta de ataque; y no tenemos evidencia confirmada de explotación en la naturaleza.
El comportamiento reportado es una clase conocida de problema de seguridad en aplicaciones de Windows.
- Puede ocurrir en cualquier aplicación de Windows que dependa del comportamiento de búsqueda de DLL predeterminado, y abordarlo requiere aplicar políticas de carga de DLL más estrictas, que X-VPN ha implementado ahora en la versión 77.5.3.
Lo que se informó
Entendiendo DLLs
Para entender lo que se informó, es útil primero comprender cómo funcionan los programas de Windows y la definición de DLLs.
Un programa de Windows rara vez es un solo archivo. Típicamente consiste en un ejecutable principal (el archivo .exe que los usuarios hacen doble clic) junto con muchos módulos de soporte llamados DLLs (Bibliotecas de Vínculo Dinámico).
Estos DLL provienen de dos lugares:
- 1DLLs de aplicación:Escrito y enviado por el fabricante del software. Estos se almacenan en la carpeta del programa, junto al archivo .exe principal.
- 2DLLs del sistema:Proporcionado por Windows mismo, almacenado en la carpeta del sistema de Windows.
CRYPTBASE.dlles uno de estos, utilizado por innumerables aplicaciones de Windows.
Cómo Windows encuentra un DLL cuando un programa necesita uno
Cuando un programa necesita cargar un DLL por nombre, Windows lo busca en el siguiente orden (simplificado para facilitar la lectura):
Una pequeña lista protegida mantenida por Windows, llamada KnownDLLs.
La carpeta del programa
La carpeta del sistema de Windows
El CRYPTBASE.dll es una DLL del sistema, pero no está en la lista de KnownDLLs. Esto significa que cuando un programa la solicita por nombre, Windows buscará primero en la carpeta del programa y solo accederá a la carpeta del sistema si no se encuentra ningún archivo con ese nombre.
Este comportamiento de búsqueda ha sido parte de Windows por diseño durante décadas, y cada aplicación de Windows, Chrome, Microsoft Office, Steam, Notepad++, X-VPN y prácticamente todos los demás programas en la plataforma operan bajo él.
El Escenario de Ataque en el Informe
El informe describe una forma en que el comportamiento de búsqueda mencionado anteriormente puede ser explotado para ejecutar código malicioso en el contexto de X-VPN. Es importante destacar que esto no apunta a un defecto en el cliente de X-VPN en sí, sino que se basa completamente en engañar al usuario para que ejecute una versión manipulada y reempaquetada de X-VPN desde una fuente no oficial.
El ataque procede de la siguiente manera:
- Un atacante toma los archivos del programa legítimo X-VPN de nuestro sitio web oficial, coloca un
CRYPTBASE.dllmalicioso dentro de la carpeta y vuelve a empaquetar toda la carpeta para su distribución. - El atacante distribuye este paquete manipulado a través de canales no oficiales, sitios de phishing, foros piratas, enlaces de intercambio de archivos o mensajes no solicitados, a menudo disfrazado como una versión «portátil» de X-VPN.
- Un usuario es engañado para descargar y ejecutar este paquete manipulado.
- Cuando se inicia el .exe empaquetado y comienza a cargar sus DLLs, una de estas DLL eventualmente solicita
CRYPTBASE.dllpor nombre. Siguiendo el proceso de búsqueda descrito anteriormente, Windows encuentra el archivo plantado por el atacante dentro de la carpeta del programa y lo carga. El código del atacante se ejecuta dentro de la sesión del usuario.
Toda esta cadena depende de que el usuario ejecute primero una copia manipulada de X-VPN. Para los usuarios que instalaron X-VPN desde fuentes oficiales:
- El instalador oficial de X-VPN contiene solo archivos legítimos y firmados, nunca se colocan DLLs maliciosos en la carpeta de instalación durante una instalación genuina.
- Después de la instalación, la carpeta del programa X-VPN está protegida por Windows y requiere privilegios de administrador para modificarla, lo que impide que procesos o usuarios ordinarios coloquen un DLL malicioso en ella más tarde.
El ataque explota a un usuario que ya ha sido engañado para ejecutar software proporcionado por el atacante desde una fuente no confiable.
Cómo se relaciona esto con X-VPN
Este informe se refiere a un problema CWE-427 (Elemento de ruta de búsqueda no controlado) en el cliente de Windows de X-VPN. Al igual que muchas aplicaciones de Windows, X-VPN no aplicaba anteriormente controles estrictos de ruta o firma al cargar ciertas dependencias DLL, que es el comportamiento subyacente descrito por CWE-427. Hemos abordado esto en la versión 77.5.3 a través de políticas de carga de DLL más estrictas, verificación de integridad en el momento del inicio y permisos de directorio reforzados. Cómo clasificar y calificar esta categoría de problema es un tema de debate en curso en la comunidad de seguridad, incluido el reciente informe CVE-2025-56383 contra Notepad++.
Lo que el informe describe, en la práctica, es una campaña de suplantación de malware en la que X-VPN se utiliza como una marca reconocible, junto con otro software legítimo que está siendo reempaquetado de maneras similares por el mismo actor, para atraer a las víctimas a ejecutar software manipulado.
Alcance Afectado
Si un usuario se ve afectado depende completamente de dónde proviene su copia de X-VPN. La tabla a continuación resume el alcance:
Cómo se obtuvo X-VPN | ¿Afectado? |
|---|---|
Descargado e instalado desde la página oficial de descarga de X-VPN para Windows (https://xvpn.io/download/vpn-win) | ❌ No afectado |
Descargado de la Microsoft Store | ❌ No afectado |
Descargado como una versión «portátil» de un sitio pirata o un enlace desconocido. | ⚠️ Potencialmente afectado |
Recibido como un instalador o paquete de un remitente desconocido | ⚠️ Potencialmente afectado |
Cómo lo solucionamos
X-VPN ha implementado medidas de endurecimiento integrales en la versión 77.5.3 para abordar esta clase de escenario de carga lateral de DLL en el cliente de Windows. Estas medidas de endurecimiento ya están disponibles en X-VPN para Windows versión 77.5.3. Nuestras medidas de endurecimiento se dividen en dos categorías, abordando cómo se carga cada tipo de DLL.
1. Carga más estricta de DLLs del sistema
Las DLL del sistema como CRYPTBASE.dll ahora se cargan desde la carpeta del sistema de Windows, independientemente de qué archivos existan en la carpeta del programa X-VPN. Esto se aplica a las DLL del sistema en cada nivel de la cadena de carga. Como resultado, incluso si una DLL maliciosa se colocara de alguna manera dentro de la carpeta del programa X-VPN, el cliente está diseñado para evitar cargarla en lugar del archivo del sistema legítimo.
2. Protección en múltiples capas para DLLs de aplicaciones
Las DLLs de la propia aplicación de X-VPN deben, por necesidad, ser cargadas desde la carpeta del programa, no son parte de Windows y no tienen un equivalente en la ruta del sistema. Hemos implementado tres capas independientes de defensa para ayudar a garantizar que estas DLL no puedan ser sustituidas o manipuladas:
- Controles de acceso al directorio. La carpeta de instalación de X-VPN está protegida por los permisos del sistema de archivos de Windows que requieren privilegios de administrador para modificar. Cualquier proceso que intente escribir un DLL en esta carpeta sin derechos elevados es bloqueado por el sistema operativo.
- Verificación de la lista blanca de hash al inicio. Cada vez que X-VPN se inicia, el cliente escanea recursivamente cada DLL dentro de su carpeta de programa y la verifica contra una lista de hash conocida como buena. Si alguna DLL no está en la lista blanca, o si su hash no coincide con el valor esperado, el cliente se niega a continuar la ejecución. Esta lista de hash se compila directamente en el ejecutable de X-VPN en lugar de almacenarse como un archivo separado, lo que significa que no se puede manipular por sí sola sin modificar el binario firmado de X-VPN, lo que invalidaría la firma digital.
- Se aplican políticas estrictas de carga de DLL por proceso. Cada proceso de X-VPN aplica reglas de carga de DLL endurecidas al inicio, restringiendo de dónde se pueden cargar las DLL y qué fuentes son de confianza.
Juntas, estas medidas ayudan a garantizar que colocar un archivo malicioso dentro de la carpeta del programa X-VPN sea en sí mismo extremadamente difícil para empezar, pero incluso en el escenario hipotético en el que un atacante logra hacerlo, el cliente está diseñado para detectar la manipulación y negarse a ejecutarse. Creemos que las defensas proactivas y en capas valen la pena implementar, tanto para abordar el escenario específico descrito en este informe como para fortalecer el cliente de X-VPN para Windows contra patrones de ataque similares de manera más amplia.
Qué deben hacer los usuarios
Actualiza a X-VPN para Windows versión 77.5.3 o posterior.
Esta versión incluye las medidas de endurecimiento adicionales descritas en esta declaración. Puedes descargarlo desde nuestra página oficial de descarga de Windows.
Siempre descarga X-VPN solo de fuentes oficiales.
Por favor, descarga X-VPN desde nuestra página oficial de descarga para Windows, el Microsoft Store, o la tienda de aplicaciones oficial de tu plataforma. Evita sitios de descarga de terceros, enlaces de intercambio de archivos o instaladores recibidos por correo electrónico o aplicaciones de mensajería.
Ten cuidado con las versiones «portátiles» o «crackeadas» de X-VPN.
X-VPN no distribuye oficialmente ninguna versión portátil de nuestro cliente de Windows, cualquier paquete de este tipo encontrado en línea debe ser tratado como no confiable.
Si sospechas que puedes haber instalado X-VPN desde una fuente no oficial
Desinstálalo y reinstala la versión oficial desde la página de descarga oficial de Windows.
Nuestro Compromiso con la Seguridad
Agradecemos al equipo de investigación de amenazas de Howler Cell en Cyderes por traer este informe a nuestra atención a través de un proceso de divulgación responsable. El análisis fue escrito por Reegun Jayapaul y Rahul Ramesh. Su blog de investigación que cubre esta divulgación está disponible ahora. Apreciamos genuinamente el tiempo y el esfuerzo que el equipo invirtió en su investigación, y creemos que la divulgación coordinada de este tipo beneficia a toda la comunidad de seguridad.
X-VPN da la bienvenida a las aportaciones de investigadores de seguridad independientes. Si crees que has descubierto un problema de seguridad que afecta a algún producto de X-VPN, te animamos a enviar tus hallazgos a través de nuestro Programa de Recompensas por Errores, donde los informes válidos y reproducibles son elegibles para recompensas monetarias que nos ayudan a fortalecer la seguridad de cada cliente de X-VPN. Para preocupaciones de seguridad o comportamientos inusuales que pueden no encajar en una presentación formal de vulnerabilidades, también puedes contactar directamente a nuestro equipo de seguridad en security@xvpn.io. Todos los informes son revisados por nuestro equipo de seguridad, y respondemos lo más rápido posible.
La seguridad no es un esfuerzo único. Continuaremos invirtiendo en proteger a nuestros usuarios a través del endurecimiento continuo del cliente, la comunicación transparente y el compromiso activo con la comunidad de investigación. Informes como este nos ayudan a mejorar, y estamos comprometidos a manejar cada uno de ellos con la apertura y seriedad que merecen.
La confianza que nuestros usuarios depositan en X-VPN es algo que tomamos en serio, y ganarla es una responsabilidad continua que acogemos con gusto.
Preguntas frecuentes
¿Es seguro usar X-VPN en este momento?
Sí. El cliente oficial de X-VPN para Windows descargado de nuestra página de descarga de Windows o de la Microsoft Store es seguro de usar. El informe de seguridad describe un escenario en el que los atacantes vuelven a empaquetar X-VPN con un DLL malicioso y distribuyen la versión alterada a través de canales no oficiales. Los usuarios que instalaron X-VPN desde nuestras fuentes oficiales no se ven afectados por el escenario de paquete alterado informado.
¿Se ha abordado el problema de carga lateral de la DLL de X-VPN para Windows?
Sí. X-VPN ha implementado medidas de endurecimiento integrales contra la carga lateral de DLL y patrones de ataque relacionados, comenzando con X-VPN para Windows versión 77.5.3, que ya está disponible. Estas incluyen reglas de carga más estrictas para las DLL del sistema (como CRYPTBASE.dll, que ahora se cargan exclusivamente desde el directorio del sistema de Windows), una verificación de hash en el tiempo de inicio de cada DLL dentro de la carpeta de instalación de X-VPN, y políticas de carga de DLL estrictas aplicadas a nivel de proceso. La lista blanca de hash utilizada para la verificación está incrustada directamente en el ejecutable de X-VPN, por lo que no se puede manipular de forma independiente.
¿Fue hackeada mi instalación de X-VPN?
Si su instalación de X-VPN se ve afectada depende de su versión y de cómo la obtuvo. Tres escenarios comunes:
Escenario 1: Ejecutando la versión 77.5.3 o posterior con una firma digital válida.
No afectado. La versión 77.5.3 incluye un endurecimiento que previene esta categoría de ataque. Puede verificar su versión dentro de la aplicación y confirmar la firma del ejecutable haciendo clic derecho en el .exe → Propiedades → Firmas digitales.
Escenario 2: Descargado de una fuente oficial e instalado en la ubicación predeterminada.
No afectado. La carpeta de instalación predeterminada requiere privilegios de administrador para modificar, lo que impide que procesos ordinarios coloquen un DLL malicioso en ella.
Escenario 3: Descargado de una fuente oficial, pero ejecutando una versión anterior a la 77.5.3, instalada en una ubicación no predeterminada, con otro software malicioso presente en el dispositivo.
Bajo esta combinación, es teóricamente posible que otro software malicioso haya colocado un DLL alterado en la carpeta de X-VPN. Recomendamos encarecidamente actualizar a la versión 77.5.3 o posterior, que cierra este camino a través de permisos de directorio más estrictos, verificación de integridad de DLL y políticas de carga por proceso.
Si no está seguro de qué escenario se aplica, la acción más segura es desinstalar y reinstalar la última versión oficial desde xvpn.io/download/vpn-win.
¿Qué es CVE-2025-56383 y es el problema de X-VPN el mismo?
CVE-2025-56383 es un informe de carga lateral de DLL contra Notepad++ que fue formalmente disputado por múltiples partes en la comunidad de seguridad. La disputa se centró en cómo clasificar y calificar esta categoría de problema, dado que la explotación requiere que un atacante primero coloque un archivo malicioso dentro de la carpeta del programa, lo que en la práctica significa que el usuario ha sido típicamente engañado para ejecutar software manipulado de una fuente no confiable.
El informe de X-VPN describe la misma clase de problema: CWE-427 (Elemento de Ruta de Búsqueda No Controlado) refleja el hecho de que, por defecto, X-VPN, al igual que muchas aplicaciones de Windows, no aplicó controles estrictos de ruta o firma al cargar ciertas dependencias de DLL. Este es un problema real que hemos abordado en la versión 77.5.3, que introduce políticas estrictas de carga de DLL, verificación de integridad en el tiempo de inicio y permisos de directorio reforzados para garantizar que las dependencias de DLL se carguen solo desde ubicaciones confiables. En lugar de centrarnos en cómo se clasifica el problema subyacente en la industria, hemos priorizado la entrega de protecciones que reduzcan significativamente el riesgo para nuestros usuarios.
¿Cómo informo sobre un problema de seguridad a X-VPN?
Los investigadores de seguridad y los usuarios pueden informar sobre problemas de seguridad a X-VPN a través de dos canales:
– Para informes de vulnerabilidad formales elegibles para recompensas monetarias: envíe a través de nuestro Programa de Recompensas por Vulnerabilidades
– Para preocupaciones de seguridad generales, comportamiento sospechoso o preguntas: envíe un correo electrónico a nuestro equipo de seguridad a security@xvpn.io
Todos los informes son revisados por nuestro equipo de seguridad y respondemos lo más rápido posible.
