Apple lleva años construyendo una imagen de compañía que pone la privacidad por delante de casi todo, especialmente frente a otras grandes tecnológicas. Sin embargo, ni siquiera el estricto control de la App Store evita que se cuelen aplicaciones con graves errores de seguridad que acaban exponiendo datos de quienes las usan.
Una reciente investigación en ciberseguridad ha sacado a la luz un problema que afecta a decenas de aplicaciones disponibles para iPhone y iPad. Estas herramientas, muchas de ellas muy populares, estarían filtrando información sensible de usuarios sin que estos sean conscientes: desde nombres y correos electrónicos hasta historiales completos de conversaciones privadas.
El trabajo lo lidera el laboratorio de investigación de seguridad CovertLabs, que ha puesto en marcha un proyecto específico para rastrear estas filtraciones. La iniciativa se ha dado a conocer bajo el nombre de Firehound, un repositorio que escanea, localiza e indexa apps que exponen datos personales a través de servicios en la nube o bases de datos mal protegidas.
Según los primeros resultados publicados, Firehound ha identificado cerca de 200 aplicaciones en iOS con fallos de este tipo. En el momento en que la información se hizo pública, 196 de las 198 aplicaciones analizadas estaban filtrando datos de usuarios de una manera u otra, lo que da una idea de la magnitud del problema.
El proyecto se ha difundido principalmente a través de redes sociales, donde distintos investigadores de seguridad han compartido ejemplos y cifras. Uno de los participantes más activos, conocido en X (antes Twitter) como @Harris0n, asegura haber encontrado brechas de seguridad que dejan accesibles enormes bases de datos a cualquier persona con los conocimientos técnicos suficientes para buscarlas.
Firehound: así funciona el rastreador de filtraciones en la App Store
Firehound se presenta como una especie de base de datos de aplicaciones vulnerables. Su objetivo es identificar aquellas apps que manejan mal la información de sus usuarios, ya sea porque usan sistemas de almacenamiento en la nube sin las debidas medidas de seguridad o porque exponen ficheros internos que deberían permanecer completamente privados.
El repositorio ofrece acceso gratuito a parte de los resultados de sus análisis, pero limita los detalles más delicados. Para ver información más específica sobre las filtraciones es necesario registrarse en la plataforma, algo que los responsables justifican como una forma de evitar que cualquiera pueda explotar esos fallos mientras trabajan en revisarlos y enmascarar los datos más sensibles.
Según explican, algunos de los informes contienen rutas directas a bases de datos expuestas, conjuntos de mensajes o listados de correo electrónico que, en manos equivocadas, podrían utilizarse para campañas de phishing, extorsión o suplantación de identidad. Por eso, Firehound solo muestra de forma pública información parcial y generalista sobre cada aplicación afectada.
El propio @Harris0n indica que, en muchos casos, todos los mensajes enviados por los usuarios a través de ciertas apps quedan almacenados sin protección. Es decir, cualquiera que sepa dónde mirar podría leer conversaciones enteras que los usuarios daban por privadas, asociadas además a datos como su correo electrónico o incluso su número de teléfono.
Esta situación pone en evidencia una debilidad conocida desde hace años: aunque Apple revise las apps antes de publicarlas, no siempre es capaz de detectar configuraciones inseguras en los servidores externos que las aplicaciones utilizan para guardar información. Y es ahí donde se está produciendo la mayor parte de estas filtraciones.
Casi 200 aplicaciones de iOS con datos personales al descubierto
Los responsables de Firehound explican que, hasta ahora, han localizado alrededor de 200 aplicaciones de iOS con problemas de seguridad. No se trata de pequeños proyectos desconocidos, sino de herramientas con un número considerable de descargas, muchas de ellas dedicadas a la inteligencia artificial y a servicios en la nube.
En redes sociales, uno de los investigadores implicados señalaba que, como era de esperar, las apps más afectadas tienen que ver con servicios de IA. Estas aplicaciones suelen gestionar grandes volúmenes de datos, ya que almacenan conversaciones, peticiones, correcciones y otro tipo de contenido que los usuarios comparten esperando que se mantenga en privado.
Uno de los ejemplos más llamativos citados en el proyecto es la app Chat & Ask AI. De acuerdo con los datos recopilados por Firehound, esta aplicación tendría más de 406 millones de registros expuestos, que corresponderían a información de más de 18 millones de usuarios. Se trataría de mensajes, consultas y otros datos que se habrían almacenado sin las debidas medidas de seguridad.
El problema, subrayan los investigadores, no es solo el volumen de información, sino también la calidad y sensibilidad de esos datos. No hablamos de simples identificadores técnicos, sino de conversaciones completas vinculadas a cuentas de correo electrónico y a números de teléfono, lo que permite relacionar con relativa facilidad cada historial de chat con una persona concreta.
En este escenario, un atacante podría no solo leer mensajes privados, sino también cruzar esos datos con otra información disponible en internet para perfilar a las víctimas, dirigir estafas personalizadas o incluso generar chantajes si detecta contenido especialmente delicado en las conversaciones filtradas.
Datos especialmente sensibles: salud mental, emociones y consultas médicas
Uno de los aspectos que más preocupa a los investigadores es el tipo de contenidos que se están filtrando. Muchas personas utilizan aplicaciones basadas en inteligencia artificial para hablar de temas emocionales, salud mental, problemas de pareja o incluso dudas médicas. Son asuntos que, por su naturaleza, deberían tratarse con la máxima confidencialidad posible.
Si esos intercambios quedan guardados en servidores mal configurados y, además, se vinculan a datos de contacto como el correo electrónico o el móvil, la intimidad de los usuarios queda seriamente comprometida. Los detalles más personales de su vida podrían terminar en manos de terceros, con consecuencias difíciles de prever.
El investigador @Harris0n ponía precisamente este ejemplo: personas que confían en una app de IA para desahogarse sobre ansiedad, depresión, problemas familiares o síntomas médicos. Todo ese material quedaría almacenado sin protección suficiente, a la espera de que alguien se cruce con la base de datos expuesta y decida aprovecharse de ella.
Este tipo de filtraciones no solo supone un riesgo en términos de ciberseguridad, sino también un problema social y psicológico. Saber que tus conversaciones más íntimas podrían estar circulando por la red puede generar desconfianza en la tecnología, miedo a pedir ayuda o a utilizar servicios de apoyo digital en momentos delicados.
Desde la perspectiva europea, además, esta situación entra en territorio de cumplimiento normativo. El Reglamento General de Protección de Datos (RGPD) exige que las empresas apliquen medidas de seguridad adecuadas al nivel de riesgo, algo que difícilmente se cumple cuando una app deja sus bases de datos accesibles al público a través de internet.
Qué tipo de aplicaciones están filtrando información y por qué ocurre
El listado de Firehound muestra que el problema no se limita a un solo sector. Entre las apps afectadas aparecen herramientas de entretenimiento, plataformas educativas, servicios relacionados con la salud y aplicaciones profesionales de diseño o productividad. Es decir, se trata de un fenómeno transversal que toca varios nichos del ecosistema de la App Store.
La mayoría de estos fallos tienen en común que las apps utilizan bases de datos o sistemas de almacenamiento en la nube mal configurados. En muchos casos, los desarrolladores recurren a servicios externos para guardar información (como historiales de chat, perfiles de usuario o ficheros compartidos) y no activan correctamente las opciones de autenticación o cifrado.
El resultado práctico es que esas bases de datos quedan accesibles sin necesidad de credenciales avanzadas, a veces incluso sin ningún tipo de protección. Cualquier persona que conozca la dirección o que realice determinadas búsquedas técnicas puede localizar esos recursos, descargarlos o explorarlos con relativa facilidad.
Otro problema habitual es el uso de claves de acceso incrustadas dentro del propio código de la app, algo que Firehound también ayuda a detectar. Si un atacante analiza el código y encuentra esas credenciales, puede utilizarlas para conectarse directamente al servicio en la nube que utiliza la aplicación y extraer todos los datos almacenados allí.
Este tipo de errores suele estar relacionado con malas prácticas de desarrollo y falta de auditorías de seguridad, más que con una intención directamente maliciosa por parte de los creadores de las aplicaciones. No obstante, para el usuario la consecuencia es la misma: su información privada acaba expuesta sin que se le haya informado de forma clara ni se le haya pedido un consentimiento consciente para ello.
No solo pasa en la App Store, pero afecta de lleno a la imagen de Apple
Los responsables de Firehound insisten en que este tipo de fallos no es exclusivo de la tienda de Apple. De hecho, problemas muy similares se han detectado durante años en la tienda de aplicaciones de Google y en otros catálogos de software. Siempre que una app dependa de servicios en la nube mal protegidos, existe el riesgo de que se produzcan filtraciones de datos.
Aun así, el hecho de que estas vulnerabilidades aparezcan en la App Store tiene un impacto especial, porque Apple lleva tiempo defendiendo que su ecosistema cerrado y supervisado es más seguro que el de sus competidores. Cada vez que aparece un caso como este, se abre el debate sobre hasta qué punto ese control previo es suficiente para proteger realmente la información personal de los usuarios.
En Europa, además, el foco sobre este tipo de incidentes es mayor por la presión regulatoria. Las autoridades de protección de datos de distintos países, incluida España, pueden exigir explicaciones tanto a los desarrolladores como, en algunos casos, a las grandes plataformas que distribuyen las aplicaciones afectadas entre millones de personas.
Apple, por su parte, suele reaccionar retirando de la tienda aquellas apps que se demuestre que incumplen sus políticas de privacidad o que suponen un riesgo claro. Sin embargo, el ciclo entre la publicación de una aplicación, la detección del problema y su eventual retirada puede ser lo suficientemente largo como para que los datos ya hayan sido copiados por terceros.
Al final, la investigación de Firehound recuerda que, aunque las grandes tecnológicas refuercen sus procesos de revisión, las filtraciones pueden aparecer en prácticamente cualquier catálogo de apps. El eslabón más débil suele ser la forma en que los desarrolladores gestionan los servidores donde se almacena la información, un ámbito en el que Apple y otros gigantes tienen menos margen de control directo.
Todo este caso sirve como una llamada de atención para usuarios y desarrolladores: por un lado, conviene pensarse dos veces qué tipo de datos compartimos con aplicaciones o funciones de terceros, como la función Friends Map de Instagram, especialmente aquellas que funcionan con inteligencia artificial y almacenan grandes volúmenes de contenido personal; por otro, se hace evidente que la seguridad no termina en pasar un filtro de la App Store, sino que requiere una gestión responsable y continua de la infraestructura donde se guardan los datos. La combinación de proyectos independientes como Firehound, regulaciones estrictas en Europa y una mayor cultura de privacidad puede marcar la diferencia a la hora de evitar que millones de registros acaben otra vez al alcance de cualquiera.
