Las apps de salud mental se han convertido en un compañero diario para millones de personas: sirven para meditar, registrar el estado de ánimo, hablar con un chatbot de “terapia” o incluso hacer videollamadas con un psicólogo. Están en el bolsillo de adolescentes, adultos y también de pacientes con cuadros complejos, desde trastornos de ansiedad hasta adicciones. Pero detrás de esa promesa de bienestar, accesibilidad y anonimato, hay un lado oscuro del que casi nadie habla con claridad.
En los últimos años se han destapado fallos de seguridad brutales, filtraciones masivas en apps de la App Store, abusos de datos y prácticas opacas en este tipo de plataformas. Estudios independientes, sanciones de autoridades como la FTC estadounidense y auditorías técnicas han dejado claro que una parte importante del sector funciona sobre un terreno resbaladizo: mucho marketing de “confidencialidad total” y poca protección real. Vamos a desgranar qué vulnerabilidades se han encontrado, qué tipo de información está en juego, cómo se está usando comercialmente y qué criterios puedes seguir para no jugarte tu intimidad emocional a una carta tan frágil.
Un panorama alarmante: miles de vulnerabilidades en apps de salud mental
En una auditoría reciente, la empresa de ciberseguridad Oversecured analizó 10 aplicaciones muy populares de salud mental para Android: herramientas de seguimiento del estado de ánimo, apps de apoyo contra la depresión y la ansiedad, chatbots terapéuticos con IA y plataformas de terapia y comunidades de apoyo. Utilizaron un escáner especializado sobre los archivos APK para detectar patrones de vulnerabilidades en decenas de categorías de seguridad.
El resultado fue demoledor: 1575 vulnerabilidades en total, 54 de ellas críticas, en aplicaciones con un volumen conjunto de más de 14,7 millones de instalaciones en Google Play. Hablamos de servicios que se anuncian como “seguros”, “privados” o “cifrados de extremo a extremo”, y sin embargo seis de las diez apps analizadas prometían a sus usuarios que los datos estaban “totalmente cifrados y protegidos de forma segura” mientras acumulaban fallos por todas partes.
La tabla de Oversecured, basada en datos de descargas, muestra un mosaico preocupante: apps de seguimiento de hábitos y estado de ánimo con más de 10 millones de instalaciones y 337 vulnerabilidades; chatbots de terapia con IA con más de un millón de usuarios y 255 fallos; plataformas de salud emocional guiadas por IA con más de un millón de descargas y 215 problemas de seguridad; e incluso herramientas de control de la depresión, ansiedad o estrés militar con decenas o cientos de vulnerabilidades detectadas.
El problema no es solo la cantidad, sino el contexto: nos encontramos ante apps que almacenan diarios emocionales, escalas clínicas, indicadores de autolesión o información sobre medicación. Cada error técnico se convierte así en una puerta de entrada a la intimidad más sensible que una persona puede compartir con un servicio digital.
Por si fuera poco, la fotografía de mantenimiento es desoladora: solo cuatro de las diez aplicaciones habían recibido actualizaciones en febrero de 2026; el resto llevaba meses sin tocarse, y una de ellas no se había modificado desde septiembre de 2024. En ciberseguridad móvil, dejar una app sin parches durante 12 o 18 meses es prácticamente abandonarla a su suerte frente a nuevas técnicas de ataque.
La anatomía técnica de los fallos: qué se rompe y cómo
Si miramos bajo el capó, las vulnerabilidades que han salido a la luz tienen un denominador común: permiten a terceros acceder a datos que deberían estar blindados. La forma concreta de llegar hasta ahí varía, pero el objetivo siempre es el mismo: romper la confidencialidad.
Una de las debilidades más graves detectadas es la exposición de actividades internas de la aplicación que no estaban pensadas para ser accesibles públicamente. A través de ellas, un atacante podría interactuar con componentes internos, robar tokens de autenticación o capturar datos de sesión. Con esos elementos en la mano, el siguiente paso sería trivial: entrar en la cuenta del usuario y ver sus registros terapéuticos como si tuviera el móvil desbloqueado en la mano.
Otra práctica especialmente preocupante es el almacenamiento local inseguro de información sensible. En algunos casos, los ficheros con diarios de TCC, notas privadas o cuestionarios de estado de ánimo se guardaban con permisos de lectura accesibles por cualquier otra app instalada en el dispositivo. Es decir, la linterna, la calculadora o un juego inofensivo podían, en teoría, leer contenido que jamás debería salir de un entorno clínico.
También se hallaron datos de configuración sin cifrar dentro de los APK: endpoints de APIs de backend, URLs de bases de datos Firebase codificadas de forma rígida, parámetros internos… Todo ello facilita el trabajo a un atacante que quiera moverse por la infraestructura, probar inyecciones, escanear APIs expuestas o buscar bases de datos mal protegidas.
Y, para rematar, varias apps usaban la clase java.util.Random para generar tokens de sesión y claves de cifrado, una herramienta conocida por ser insuficiente a nivel criptográfico. Traducido: los identificadores de sesión y algunas claves podían ser previsibles, abriendo vía a ataques de fuerza bruta o suplantaciones más sencillas.
La falta de detección de dispositivos rooteados o con jailbreak era la guinda del pastel: si el usuario había liberado su móvil y una app maliciosa obtenía privilegios de root, podía hurgar sin restricciones en todos los datos médicos almacenados localmente. Sin mecanismos de detección y bloqueo, estas apps se comportan como si operaran siempre en un entorno perfecto… que no existe.
Todo esto sucede en un contexto global donde ya hemos visto ataques extremadamente sofisticados contra componentes críticos, como el caso de XZ Utils en 2024. Allí, un atacante explotó el agotamiento del desarrollador principal para ganarse su confianza y conseguir permisos de contribución, intentando introducir una puerta trasera en un componente que utilizan la mayoría de sistemas Linux del mundo. Aunque finalmente se detectó, el episodio demostró hasta qué punto la fatiga, la falta de recursos y la ausencia de revisiones sistemáticas pueden hacer que cualquier pieza de software, por muy esencial que sea, se convierta en un vector de riesgo. Con las apps de salud mental ocurre algo similar: mucho código, poco control y una superficie de ataque enorme.
Qué datos manejan estas apps y por qué valen tanto
Cuando instalas una aplicación de salud mental no estás entregando un simple correo electrónico: estás abriendo la puerta a que una empresa almacene tu biografía emocional. Estas apps suelen recopilar, entre otros datos, transcripciones de sesiones de terapia, escalas clínicas estandarizadas, indicadores de autolesión, información de medicación, horarios de toma, niveles de ansiedad o depresión a lo largo del tiempo y reflexiones muy personales que el usuario introduce en forma de diario.
En muchos casos, además, estos datos clínicos se combinan con información de perfil muy detallada: nombre y apellidos, dirección, teléfono, edad, orientación sexual, situación sentimental, profesión, hábitos de consumo o incluso geolocalización precisa. Hay servicios que piden permisos para acceder a la agenda de contactos, fotos, vídeos o ubicación, aun cuando no resulte imprescindible para la funcionalidad principal.
En la economía sumergida de los datos, estos historiales son oro puro. Se ha documentado cómo en la dark web se han ofrecido registros médicos completos por unos 1000 dólares la unidad, mientras que una tarjeta de crédito robada se vende por entre 5 y 30 dólares. La diferencia de precio tiene lógica: el historial médico contiene un paquete de identidad completo y difícilmente reemplazable, útil para fraudes de seguro, suplantaciones e ingeniería social.
Además, el fraude médico es mucho más difícil de detectar que el financiero tradicional. Mientras un banco puede bloquear en horas un cargo sospechoso, una reclamación fraudulenta a un seguro sanitario por un tratamiento ficticio puede pasar desapercibida durante años. Y lo más inquietante: no puedes “anular y volver a emitir” tu historial clínico, como sí haces con una tarjeta, de modo que el daño reputacional y práctico es a largo plazo.
En paralelo, hay un mercado legal pero poco transparente: los data brokers. Investigaciones como la de la Universidad Duke han mostrado cómo intermediarios de datos ofrecían a la venta paquetes con información de salud mental de ciudadanos estadounidenses: diagnósticos concretos (depresión, ansiedad, trastorno bipolar…), variables demográficas, e incluso nombres y direcciones. Algunos listados empezaban en poco más de 275 dólares por 5000 registros agregados, una ganga para quien quiera segmentar campañas o tomar decisiones de riesgo.
Casos reales: cuando la intimidad terapéutica termina en la red o en manos de anunciantes
Los problemas de seguridad y privacidad de estas apps no son una teoría ni un susto puntual; ya hemos visto incidentes gravísimos en el mundo real, con consecuencias psicológicas, económicas e incluso penales.
Uno de los casos más estremecedores se produjo en 2020 con la clínica finlandesa Vastaamo, especializada en psicoterapia. Un ciberdelincuente consiguió acceder a los registros de unos 33.000 pacientes. Cuando la empresa rechazó pagar un rescate de 400.000 euros, el atacante comenzó a chantajear directamente a las víctimas: les exigía 200 euros en bitcoins a cambio de no publicar sus notas de terapia. Finalmente, terminó liberando la base de datos en foros de la dark web. El impacto fue devastador: al menos se vincularon dos suicidios con este chantaje masivo y la clínica acabó en quiebra. Años después, el responsable fue condenado a más de seis años de prisión.
En el terreno de las apps y plataformas online, la Comisión Federal de Comercio (FTC) de EE. UU. ha empezado a plantar cara con sanciones ejemplares. En 2023 multó a BetterHelp, uno de los gigantes de la terapia por internet, con 7,8 millones de dólares por haber compartido con empresas como Facebook, Snapchat, Criteo o Pinterest datos que iban desde respuestas a cuestionarios de salud mental hasta correos electrónicos y direcciones IP. Todo ello mientras prometían en su página de registro que la información era “estrictamente confidencial”. Los cerca de 800.000 usuarios afectados recibieron una compensación simbólica de unos 10 dólares.
Poco después, en 2024, la FTC sancionó con 7 millones de dólares a Cerebral, una plataforma de telesalud que utilizaba píxeles de seguimiento para volcar hacia LinkedIn, Snapchat y TikTok datos de 3,2 millones de pacientes: nombres, diagnósticos, medicación, citas, información de seguro… Como si no bastara, la empresa envió postales comerciales sin sobre a unos 6000 usuarios, dejando a la vista que recibían tratamiento psiquiátrico.
Ese mismo año, el investigador Jeremiah Fowler encontró una base de datos abierta sin contraseña de Confidant Health, proveedor centrado en adicciones y salud mental. Dentro había 5,3 terabytes de información: grabaciones de audio y vídeo de sesiones, transcripciones, notas clínicas, resultados de pruebas de drogas, copias de carnés de conducir, etc. Se estimaron unos 1,7 millones de registros y 126.000 archivos expuestos sin la protección mínima.
Más allá de estas fugas, informes como el de la Fundación Mozilla han revelado patrones preocupantes de uso de rastreadores publicitarios y venta de datos en apps populares como BetterHelp, Talkspace, Headspace, Youper o Woebot. En su revisión de 32 apps de salud mental y oración, 28 fueron marcadas con la etiqueta “Privacidad no incluida”: recopilaban más datos de los necesarios, pedían permisos excesivos, permitían contraseñas débiles y no mostraban evidencias claras de un proceso sistemático de actualizaciones de seguridad.
El espejismo del anonimato y la “anonimización” de datos
El mensaje más repetido por los responsables de estas plataformas suele ser algo del estilo: “Nunca compartimos tus datos personales”. Lo que no se matiza tanto es que a menudo comparten perfiles supuestamente “anonimizados” o “pseudonimizados”, y que, con las técnicas actuales, devolverles el rostro a esos datos no es precisamente ciencia ficción.
Investigaciones recientes señalan que los modelos de lenguaje y técnicas avanzadas de correlación permiten, a partir de registros despersonalizados, volver a identificar usuarios cruzando información con otras bases de datos: patrones de búsqueda, ubicaciones, hábitos de uso, pequeñas pistas en el contenido textual, etc. Lo que muchas empresas presentan como una anonimización irreversible, en realidad puede ser un simple velo fino.
A esto se suma que el proceso de anonimización está a menudo mal diseñado. El estudio de la Fundación Mozilla detectó que en 2023 el 59 % de las apps de salud mental revisadas no cumplía estándares básicos de privacidad y que el 40 % había empeorado respecto al año anterior. Algunas políticas eran sospechosamente breves, otras diferenciaban entre la web corporativa (donde prometían protección) y la propia app (donde el nivel de detalle sobre rastreo y cesión de datos era mínimo o inexistente).
Muchas aplicaciones integran, además, mecanismos de “login con Google, Apple, Facebook, etc.”. Esto simplifica la entrada para el usuario, pero también construye puentes entre identidades en distintas plataformas. Si a eso se añaden rastreadores de anuncios como los de Google o Meta, el resultado es un perfil publicitario que sabe si usas una app de meditación, si empleas un chatbot para tus crisis de ansiedad o si sigues un programa para dejar las drogas.
Esa información puede usarse para dirigir anuncios en momentos de máxima vulnerabilidad: suplementos milagro para la depresión, terapias dudosas, productos caros presentados como soluciones urgentes… Los propios investigadores de Mozilla advertían del riesgo de que plataformas como Facebook o Google integren en su segmentación el uso frecuente de apps de salud mental, contribuyendo a un entorno donde el negocio se nutre de la fragilidad emocional.
Beneficios reales y limitaciones de las herramientas digitales de salud mental
Sería injusto decir que todo en este ecosistema es negativo. Bien diseñadas, auditadas y supervisadas, las herramientas digitales pueden ser una pieza útil del cuidado de la salud mental, sobre todo como complemento a la atención profesional presencial o virtual.
Podemos distinguir varios tipos de servicios. Por un lado están las apps de bienestar y mindfulness, como las populares plataformas de meditación y gestión del estrés. Se centran en el sueño, la respiración, la atención plena y la regulación emocional básica. Suelen ser adecuadas para adultos y adolescentes, siempre que los menores utilicen el contenido bajo alguna supervisión. No están pensadas para tratar cuadros graves, sino para aliviar tensión, mejorar el descanso o introducir hábitos saludables.
Tenemos también los chatbots de salud mental basados en IA, que aplican de forma guiada técnicas inspiradas en la terapia cognitivo-conductual (TCC) o enfoques similares. Pueden servir para reflexionar sobre pensamientos negativos, hacer registros de emociones o practicar ejercicios de reestructuración cognitiva. Sin embargo, no sustituyen ni el criterio clínico ni la empatía humana; de hecho, muchos profesionales advierten de que conviene que los adolescentes los usen con acompañamiento adulto.
Otro grupo lo forman las plataformas de terapia online, que conectan al usuario con psicólogos o psiquiatras colegiados para sesiones por videollamada, chat o mensajes. Aquí estamos más cerca de la atención tradicional, aunque la calidad de la experiencia varía según el profesional, el modelo de negocio, el tiempo disponible por sesión y la protección de datos del proveedor.
Por último, algunos usuarios recurren a herramientas de IA generalistas para hablar de sus problemas o pedir recomendaciones. Este uso es especialmente delicado porque esos sistemas no están diseñados ni validados como recursos clínicos, pueden ofrecer consejos inseguros y no deberían sustituir nunca a la consulta con un profesional, y menos en menores sin supervisión.
Las ventajas prácticas de todos estos recursos son claras: accesibilidad horaria y geográfica, menor coste en algunos casos, sensación de privacidad desde casa y aprendizaje de habilidades (técnicas de relajación, seguimiento del estado de ánimo, ejercicios de TCC, journaling, etc.). Pero sus límites son evidentes: no pueden manejar crisis graves, no siempre disponen de personal cualificado detrás, la conexión emocional no es igual que cara a cara y, como venimos viendo, la privacidad y la seguridad dejan bastante que desear en demasiados productos.
Una jungla de apps: regulación escasa y evidencia científica limitada
El boom de estas herramientas ha sido espectacular. Se estima que en apenas dos años, entre 2019 y 2021, el mercado de apps de salud mental creció más de un 50 %, con la pandemia disparando las descargas. Hoy se calcula que existen más de 10.000 aplicaciones de este tipo, muchas de ellas gratuitas o con modelo freemium.
El problema es que muy pocas cuentan con ensayos clínicos sólidos que respalden su eficacia. Un gran número se apoyan en marketing emocional y en el efecto novedad antes que en protocolos testados. En este sentido, el proyecto europeo ECoWeB ha marcado un hito: se trata de uno de los primeros ensayos a gran escala que compara, en jóvenes de 16 a 22 años de varios países, distintas apps diseñadas para prevenir la depresión.
En este estudio se puso frente a frente una app de competencia emocional personalizada, una aplicación de autoayuda basada en TCC y otra de automonitoreo. Contra lo que se podría pensar, la intervención centrada en competencia emocional no demostró beneficios claros frente a las otras dos, mientras que la app de TCC sí mostró ventajas en jóvenes con mayor nivel de preocupación y evaluaciones negativas, ayudando a retrasar o mitigar la aparición de síntomas depresivos.
La conclusión es matizada pero importante: las apps de autoayuda bien diseñadas sobre principios de TCC y con base empírica pueden ser herramientas asequibles y escalables para la salud mental pública juvenil, siempre que se integren en un enfoque más amplio y bajo supervisión profesional cuando haga falta.
El reverso de esta moneda es que, en paralelo, abundan aplicaciones creadas por oportunistas que explotan un mercado desregulado. Con apariencia de rigurosidad médica, pueden exacerbar síntomas, retrasar el acceso a terapia eficaz o, simplemente, dedicarse a recolectar datos con fines comerciales. De nuevo, la investigación de la Fundación Mozilla lo dejaba claro: de 32 apps líderes analizadas, 19 no protegían adecuadamente privacidad y seguridad.
Cómo evaluar una app de salud mental sin ser experto técnico
En un escenario con miles de opciones y pocas garantías, aprender a mirar las apps con ojo crítico se vuelve casi imprescindible. No se trata de volverse paranoico, sino de aplicar un mínimo filtro antes de entregar tu intimidad emocional a un servicio que no conoces.
Una primera referencia son los modelos de acreditación oficiales que existen en algunos territorios. En Cataluña, por ejemplo, la Fundació TIC Salut Social dispone de un sistema de acreditación de apps de salud que evalúa aspectos de usabilidad, accesibilidad, tecnología, seguridad, funcionalidad y calidad de contenidos. Aunque el número de aplicaciones acreditadas al año es muy pequeño comparado con el océano disponible en las tiendas, sirven de ejemplo de qué criterios conviene revisar.
En el bloque técnico, interesa comprobar que la app se distribuye a través de tiendas oficiales, se instala y desinstala sin problemas, es estable y gestiona bien los cambios de contexto (por ejemplo, si entra una llamada no se pierde la información). A nivel de diseño, debería ser intuitiva, con textos legibles y elementos claramente identificables, y contemplar la accesibilidad para personas con diversidad funcional.
En seguridad, la clave es que exista una política de protección de datos clara, fácil de encontrar y comprensible. Tiene que explicar qué datos se recogen, con qué finalidad, quién los trata, durante cuánto tiempo se conservan y con quién se comparten. Los permisos que solicita la app (GPS, contactos, cámara, micrófono, etc.) deberían estar justificados por la funcionalidad que ofrece; si una app de diario emocional pide geolocalización exacta o acceso a fotos sin motivo aparente, mala señal.
Respecto a la funcionalidad y los contenidos, conviene fijarse en si la app informa de quién es el propietario, quién la financia, qué fuentes científicas utiliza y cuándo se ha actualizado por última vez. Una herramienta respetable debería ofrecer vías de contacto, soporte al usuario e información sobre posibles riesgos o limitaciones de uso (por ejemplo, que no está pensada para manejar crisis suicidas).
Para los profesionales de la salud mental, la Asociación Estadounidense de Psiquiatría propone un modelo de autoevaluación de apps con preguntas clave que también pueden aprovechar usuarios avanzados: ¿en qué plataformas funciona?, ¿se ha actualizado en los últimos 180 días?, ¿tiene política de privacidad accesible?, ¿recoge datos sensibles y afirma protegerlos adecuadamente?, ¿hay estudios, revisiones de usuarios o instituciones académicas que apoyen su utilidad?, ¿es fácil de usar?, ¿los datos que genera son comprensibles y se pueden compartir de forma segura, por ejemplo, con un terapeuta?
Estrategias prácticas para minimizar riesgos al usar apps de salud mental
Aunque la opción más segura desde el punto de vista de privacidad sería no usar ninguna app y limitarse a la atención profesional tradicional, eso simplemente no es realista para mucha gente. Además, aunque borres una aplicación, no siempre puedes eliminar los datos que ya se han volcado en sistemas de terceros o intermediarios de datos. Por eso es más sensato adoptar una postura intermedia: usar estas herramientas con cabeza y con ciertas precauciones.
Antes de instalar, es fundamental revisar los permisos en la ficha de la app (en Android, en el apartado “Acerca de esta aplicación → Permisos”). Un servicio de registro de ánimo no necesita tu ubicación GPS exacta, ni acceso a la cámara “por si acaso”, ni a toda tu agenda de contactos. Si pide más de lo razonable, puede que el negocio esté en otra parte.
Dedicar unos minutos a la lectura (o al menos escaneo) de la política de privacidad también marca la diferencia. Puedes copiar el texto y pedir ayuda a una IA para que te resuma los puntos críticos: si se comparten datos con terceros, si puedes solicitar el borrado de tu historial, si la política se aplica solo al sitio web o también a la app, si se menciona el uso de rastreadores publicitarios, etc.
Otro truco sencillo es fijarse en la fecha de la última actualización: si la app lleva más de seis meses sin tocarse, es muy probable que acumule vulnerabilidades sin parchear. En el análisis de Oversecured, más de la mitad de las aplicaciones llevaban meses congeladas pese a manejar información extremadamente sensible.
En el propio móvil puedes restringir todo lo que no sea estrictamente necesario en los ajustes de privacidad: seguimiento publicitario, permisos en segundo plano, acceso a sensores. Cuando una app te diga que necesita que actives un determinado rastreo “para mejorar la experiencia” o “con fines de optimización interna”, desconfía: casi siempre es una forma elegante de decir “para sacar más partido a tus datos”.
También es recomendable evitar, en la medida de lo posible, los inicios de sesión con cuentas de Google, Apple, Facebook o similares. Son cómodos, sí, pero facilitan la creación de identificadores cruzados entre servicios. Si la plataforma lo permite, es preferible usar un correo específico y una contraseña robusta, idealmente gestionada con un gestor de contraseñas.
Y quizá el consejo más importante: piensa todo lo que escribes en estas apps como si pudiera hacerse público algún día. No se trata de asustarte, sino de ser realista con el riesgo residual. Si hay detalles que no soportarías ver publicados asociándolos a tu nombre, puede que sea mejor compartirlos solo en contextos muy controlados (consulta presencial o teleconsulta con un profesional, por ejemplo) y no en una app de consumo masivo con cientos de vulnerabilidades potenciales.
En paralelo, si eres padre, madre o tutor, conviene prestar especial atención al uso que los adolescentes hacen de estas herramientas. La necesidad de validación inmediata, la exposición a consejos poco fiables y la facilidad para acceder a contenidos sensibles hacen que este grupo sea especialmente vulnerable. Acompañarles en la elección de apps, revisar juntos permisos y políticas y dejar claro que, ante señales de empeoramiento o ideación suicida, el paso debe ser siempre contactar con un profesional o un servicio de urgencias, no con un chatbot.
En conjunto, el ecosistema de apps de salud mental es una mezcla explosiva de oportunidades, buena intención, precariedad técnica y explotación comercial de la vulnerabilidad. Hay herramientas valiosas, especialmente aquellas basadas en TCC con respaldo científico y marcos de seguridad robustos, pero están rodeadas de productos mediocres o directamente peligrosos desde el punto de vista de privacidad. Distinguir unas de otras exige algo de esfuerzo, un punto de escepticismo y, sobre todo, recordar que tu intimidad emocional no es un simple dato más que se pueda reciclar impunemente en el mercado digital.
