Investigadores de seguridad han denunciado una filtración masiva de datos de usuarios de una 'app' de teclado virtual llamada Ai.Type, con versiones en varios idiomas, incluido el castellano, para móviles y tablet Android y iOS (el sistema operativo móvil de Apple).

La app, creada por una start-up de Tel-Aviv (Israel) en el 2010, tiene 31.293.959 usuarios y más de 40 millones de descargas solo en la Google Play. Es un teclado predictivo que utiliza programas de inteligencia artificial para evitarle al usuario teclear innecesariamente. Además, incluye todo tipo de emoticonos (emoji).

La empresa tenía previsto añadirle a su app el uso de bots como "Plataforma de descubrimiento de bots" y para ello solicitaba todo tipo de información de uso de servicios y aplicaciones, incluyendo un modo por defecto de "Acceso total" a todos los datos del teléfono pasados y presentes.

FALLO EN LA CONFIGURACIÓN

La filtración de 577 Gb de datos, que han sido publicados en foros, ha sido posible por un fallo en la configuración de la base de datos programada con MongoDB, un programa muy habitual que por lo visto presenta grandes riesgos de seguridad (como exponer todo el archivo) si no se configura bien.

El servidor de AI.Type, sin embargo, quedó completamente expuesto y los piratas informáticos han podido descargar toda la información que almacenaba, que era "un tesoro inusual que la mayoría de usuarios no espera que pueda ser extraída de su móvil o tableta", según explica el Kromtech Security Center, descubridores del fallo.

La filtración incluye perfiles de cada cliente con nombre, número de teléfono, tipo de dispositivo y modelo, idioma, IMEI, correo electrónico, país de residencia, enlaces a redes sociales, fotos, detalles de localización, conexión IP, cumpleaños y otros detalles expuestos en redes sociales. Curiosamente, en Kromtech no hablan de tarjetas de crédito, cuando la app advierte que permite compras dentro de la aplicación.

EXTENDIDO A OTROS CONTACTOS

Además, según Kromtech, hay más de 6 millones de contactos que han expuesto direcciones y teléfonos almacenados en sus listas de contactos, lo que amplía la información expuesta a más de 373 millones de personas.

Los riesgos de la filtración, según recuerdan en Kromtech, incluyen la posibilidad de fraudes, intentos de phishing y ataques dirigidos para intentar engañar al usuario. Y sus investigadores cuestionan el nivel de detalle que exigen conocer algunas apps que les hace disponer de información personal muy sensible que puede acabar expuesta. Muchas de estas empresas ni siquiera piden permiso.