Un fallo de seguridad en apps de IA expone las ubicaciones de más de 150.000 usuarios

| 10 febrero, 2026 | 0 comentarios

Un fallo de seguridad en apps de IA expone las ubicaciones de más de 150.000 usuarios

Un problema de seguridad ha puesto al descubierto datos sensibles de ubicación GPS y otra información personal de usuarios de tres aplicaciones móviles de identificación de imágenes impulsadas por IA y disponibles en Google Play, según ha revelado una investigación de expertos en ciberseguridad de Cybernews.

Dichas apps, en conjunto, acumulaban más de 2 millones de descargas, pero por una configuración errónea de sus servicios en la nube, han estado filtrando datos personales sin protección adecuada.

La vulnerabilidad se detectó en las instancias de Firebase —una plataforma de backend ampliamente utilizada para bases de datos y autenticación— que las tres aplicaciones usaban para almacenar y sincronizar datos. Debido a una mala configuración de los controles de acceso, estas instancias quedaron accesibles públicamente, lo que permitió a cualquier persona con conocimientos básicos acceder a la información almacenada.

Los datos expuestos incluyen direcciones de email, nombres de usuario (a menudo con nombre completo), tokens de notificaciones de Firebase Cloud Messaging (FCM), fotos de perfil y coordenadas GPS de los usuarios.

Aunque no se han detectado contraseñas filtradas, la combinación de datos personales y localización puede ser suficiente para realizar ataques de ingeniería social, acoso (stalking) o prácticas de doxxing.

Una animalada

El trío de apps que tenían la falla sirven para identificar especies de animales mediante instantáneas tomadas con la cámara del smarthone.

Se trata de Dog Breed Identifier Photo Cam, con alrededor de 500.000 descargas y más de 66.000 usuarios afectados; Spider Identifier App by Photo, también con medio millón de instalaciones y más de 40.000 expuestos; y Insect identifier by Photo Cam, con casi 1 millón de descargas y más de 45.000 usuarios afectados.

Los números indican que no todos los usuarios que bajaron estas herramientas vieron expuestos sus datos, lo que sugiere que solo algunas funciones dependían de los servicios mal configurados.

El fallo ha sido vinculado al desarrollador listado en Google Play como MobilMinds applications, cuya página también menciona a OZI Technologies Private Limited, una empresa con sede en Pakistán que ofrece servicios de desarrollo de apps, marketing digital y software a clientes internacionales.

A pesar de varios intentos de contacto de los investigadores, no ha habido respuesta oficial de los responsables sobre si se ha corregido la vulnerabilidad.

Por qué debe inquietar a sus usuarios

Una de las partes más preocupantes del incidente es que las coordenadas de GPS pueden revelar dónde viven o se desplazan habitualmente los usuarios, algo que puede ser explotado por actores maliciosos para perfilar comportamientos, preparar ataques dirigidos o incluso acosar físicamente a personas.

Asimismo, los tokens de notificación expuestos podrían permitir el envío de mensajes fraudulentos que parezcan legítimos desde la propia app.

applicantes

applicantes

Applicantes.com es la primera web de información diaria en español centrada en el mundo de las aplicaciones móviles (para todas las plataformas), web y otros tipos de apps.
applicantes

Últimas entradas de applicantes (ver todo)

Quizás también te interese

Filed in: Actualidad, Seguridad
×

Escribe un comentario