Lo privado se ha vuelto público: fotos picantes de una app de fitness se han filtrado al dominio público

Fitify, una de las aplicaciones de fitness más populares con más de 10 millones de instalaciones a través de Google Play y cerca de 25 millones de descargas en todas las plataformas, se ha visto envuelta en un escándalo relacionado con la filtración de imágenes privadas de los usuarios. El equipo de Cybernews detectó un grave incidente: un almacenamiento en la nube de Google, de acceso público y perteneciente a Fitify, contenía cientos de miles de archivos, incluyendo fotografías de usuarios que documentaban los cambios físicos durante sus entrenamientos.

La vulnerabilidad fue descubierta a principios de mayo de 2025. El almacenamiento no requería ni contraseña ni clave de acceso, lo que permitía que cualquier persona accediera a datos confidenciales. Entre los 373 mil archivos se encontraron aproximadamente 206 mil avatares de usuarios, 138 mil "fotos de progreso" y 6 mil escaneos corporales 3D, incluyendo metadatos utilizados para analizar masa corporal, depósitos de grasa y postura. Otros 13 mil archivos estaban adjuntos en conversaciones con el entrenador de IA.

Lo que más preocupó fue que las fotos de progreso y los escaneos corporales a menudo estaban tomadas con ropa mínima o sin ropa en absoluto — una práctica común entre los usuarios que desean hacer seguimiento detallado de los cambios corporales. Estas imágenes estaban destinadas a ser estrictamente privadas y, según la descripción de Fitify en Google Play, debían estar protegidas mediante cifrado durante la transmisión. Sin embargo, la falta de protección a nivel de almacenamiento anuló por completo esa promesa.

Tras recibir la notificación de Cybernews, la empresa Fitify Workouts cerró el acceso al almacenamiento y solucionó el problema, haciendo que los archivos ya no estuvieran disponibles para terceros. A pesar de esta respuesta rápida, el incidente sacó a la luz otros aspectos preocupantes. Los expertos encontraron claves y secretos integrados directamente en el código de la aplicación, que podrían haber sido utilizados por atacantes para obtener acceso adicional a los sistemas internos y a los datos de los usuarios.

Los secretos se hallaron tanto en el entorno de desarrollo como en la versión de producción de la aplicación. Entre ellos había identificadores de clientes de Android y Google, claves API, enlaces a Firebase, Project ID, almacenamiento de datos, y en la versión de producción, claves y tokens de Facebook, dominios dinámicos de Firebase e incluso una clave de Algolia. Esta última, por cierto, no se menciona en la política de privacidad de la aplicación, aunque el servicio de Algolia no permite alojamiento local y toda la información se almacena en servidores externos.

La presencia de estos datos expuestos genera múltiples vectores de ataque, incluida la posibilidad de falsificar aplicaciones, manipular contenido de usuarios e incluso provocar fugas de datos de redes sociales.

Los autores de la investigación subrayaron que, si bien Fitify revela qué servicios de terceros utiliza, no informa adecuadamente sobre los riesgos asociados a su uso. La situación se agrava al considerar que, entre las 156 mil aplicaciones iOS analizadas por Cybernews, cerca del 71% contenían al menos un secreto expuesto en su código — Fitify fue una de ellas.

Para prevenir este tipo de incidentes, los expertos recomiendan configurar mecanismos de autenticación en los almacenamientos en la nube, restringiendo el acceso solo a personas y sistemas autorizados. También es crucial revocar las claves comprometidas, generar nuevas y actualizar la aplicación conforme a una infraestructura de seguridad reforzada. Es necesario realizar una auditoría para detectar posibles abusos derivados de las vulnerabilidades.