Un grupo de investigadores de seguridad han denunciado una filtración masiva de datos de usuarios de una app de teclado virtual llamada A.I.type, con versiones en varios idiomas, incluido el castellano, para móviles y tabletas Android y iOS (el sistema operativo móvil de Apple).

La aplicación, creada por una startup de Tel Aviv (Israel) en el 2010, tiene 31.293.959 usuarios y más de 40 millones de descargas solo en la Google Play (aparte están los datos de la Apple Store, que no se han dado a conocer). A.I.type es un teclado predictivo que utiliza programas de inteligencia artificial para evitarle al usuario teclear palabras innecesariamente. Además, incluye todo tipo de emoticonos (emoji).

ACCESO TOTAL // La empresa tenía previsto añadirle a su app el uso de bots en una funcionalidad que se iba a llamar Plataforma de descubrimiento de bots y que iba a consistir en herramientas para automatizar más procesos. Con ese propósito, solicitaba todo tipo de información de uso de servicios y aplicaciones de cada dispositivo. Para hacerlo más fácil y sencillo, incluía un modo de privacidad por defecto que daba «acceso total» a todos los datos del teléfono o la tableta pasados y presentes.

El servidor de A.I.type quedó completamente expuesto y los piratas informáticos han podido descargar toda la información que almacenaba, que era «un tesoro inusual que la mayoría de usuarios no espera que pueda ser extraída de su móvil o tableta», explica el Kromtech Security Center, descubridores del fallo.

La filtración incluye perfiles de cada cliente con nombre, número de teléfono, tipo de dispositivo y modelo, idioma, IMEI, correo electrónico, país de residencia, enlaces a redes sociales, fotos, detalles de localización, conexión IP, cumpleaños y otros detalles expuestos en redes sociales. Curiosamente, en Kromtech no hablan de que se hayan filtrado números tarjetas de crédito, cuando la app advierte que permite compras dentro de la aplicación. Una buena práctica de seguridad suele ser tener distintos archivos para los datos personales y los datos de pago, y en esta ocasión parece que sí se ha respetado.

Sin embargo, según Kromtech, la filtración de direcciones de correo podría ser más extensa debido a que hay más de 6 millones de contactos que han expuesto direcciones y teléfonos almacenados en sus listas de contactos, lo que amplía la información expuesta a más de 373 millones de personas en todo el mundo.