Filtrados datos de 31 millones de usuarios de una app de teclado virtual

Investigadores de seguridad han denunciado una filtración masiva de datos de usuarios de una app de teclado virtual llamada Ai.Type, con versiones en varios idiomas, incluido el castellano, para móviles y tabletas Android y iOS (el sistema operativo móvil de Apple).

La app, creada por una startup de Tel-Aviv (Israel) en el 2010, tiene 31.293.959 usuarios y más de 40 millones de descargas solo en la Google Play (aparte están los datos de la Apple Store, que no se han dado a conocer). Ai.Type es un teclado predictivo que utiliza programas de inteligencia artificial para evitarle al usuario teclear palabras innecesariamente. Además, incluye todo tipo de emoticonos (emoji).

La empresa tenía previsto añadirle a su app el uso de bots en una funcionalidad que se iba a llamar 'Plataforma de descubrimiento de bots' y que iba a consistir en herramientas para automatizar más procesos. Para ello solicitaba todo tipo de información de uso de servicios y aplicaciones de cada dispositivo. Para hacerlo más fácil, incluía un modo de privacidad por defecto que daba "acceso total" a todos los datos del teléfono o la tableta pasados y presentes.

Fallo en la configuración

La filtración de 577 gigabytes (Gb) de datos, que han sido publicados en foros, ha sido posible por un fallo en la configuración de la base de datos basada en MongoDB, un programa muy habitual que por lo visto presenta grandes riesgos de seguridad (como exponer todo el archivo a cualquiera que se conecte) si no se configura bien.

El servidor de Ai.Type quedó completamente expuesto y los piratas informáticos han podido descargar toda la información que almacenaba, que era "un tesoro inusual que la mayoría de usuarios no espera que pueda ser extraído de su móvil o tableta", según explica el Kromtech Security Center, descubridores del fallo.

La filtración incluye perfiles de cada cliente con nombre, número de teléfono, tipo de dispositivo y modelo, idioma, IMEI, correo electrónico, país de residencia, enlaces a redes sociales, fotos, detalles de localización, conexión IP, cumpleaños y otros detalles expuestos en redes sociales. Curiosamente, en Kromtech no hablan de que se hayan filtrado números de tarjetas de crédito, cuando la app advierte de que permite compras dentro de la aplicación. Una buena práctica de seguridad suele ser tener distintos archivos para los datos personales y los datos de pago, y en esta ocasión parece que se ha respetado.

Extendido a otros contactos

Sin embargo, según Kromtech, la filtración de direcciones de correo podría ser más extensa porque hay más de seis millones de contactos que han expuesto direcciones y teléfonos almacenados en sus listas de contactos, lo que amplía la información expuesta a más de 373 millones de personas.

Los riesgos de la filtración, según recuerdan en Kromtech, incluyen la posibilidad de fraudes, intentos de phishing y ataques dirigidos para intentar engañar al usuario. Sus investigadores cuestionan el nivel de detalle que exigen conocer algunas app que les hace disponer de información personal muy sensible que puede acabar expuesta. Muchas de estas empresas ni siquiera piden permiso. Google ha anunciado recientemente que aumentará el nivel de exigencia de privacidad de las apps para que no se pidan datos innecesarios al usuario.