¿Aceptaste el acceso al micrófono? Enhorabuena: acabas de hacer públicas tus conversaciones.

La aplicación viral Neon, que irrumpió rápidamente en el top-5 de programas gratuitos para iPhone, prometía a los usuarios un ingreso fácil: grababa sus conversaciones telefónicas y luego vendía esas grabaciones a empresas que entrenan inteligencia artificial. En solo un día Neon se descargó más de 75 000 veces, y el servicio llegó a reunir miles de usuarios. Sin embargo, el vertiginoso ascenso terminó de forma abrupta: la aplicación fue desactivada de urgencia después de que se descubriera una vulnerabilidad crítica que permitía a cualquier usuario autorizado acceder a números ajenos, grabaciones y transcripciones de llamadas.

Los especialistas de TechCrunch descubrieron el problema durante una prueba técnica. Crearon una cuenta nueva, verificaron un número y analizaron el tráfico de red con Burp Suite para entender cómo Neon interactuaba con el servidor. Tras varias llamadas de prueba, la aplicación mostró los datos esperados: la lista de llamadas y las sumas acreditadas por cada una. Pero al analizar las solicitudes de red aparecieron detalles ocultos: enlaces directos a archivos de audio y a transcripciones textuales de las conversaciones, accesibles para cualquiera que conociera la dirección. Peor aún: el servidor también permitía acceder a grabaciones de terceros.

Los expertos pudieron solicitar al servidor la lista de últimas llamadas de otros usuarios, incluidos los enlaces abiertos a las grabaciones y sus transcripciones. El sistema también devolvía metadatos: los números de teléfono de ambas partes, la hora, la duración y las ganancias por la llamada. La comprobación de varios archivos mostró que algunos usuarios usaban Neon para conversaciones prolongadas, grabando en secreto diálogos reales con fines de lucro. Además, las personas al otro lado de la llamada que no habían instalado la aplicación también quedaban grabadas sin su consentimiento.

Tras la notificación al desarrollador, la aplicación dejó de funcionar casi de inmediato. El fundador de Neon, Alex Kiam, informó que desconectó los servidores y envió a los usuarios un aviso de "suspensión para mejorar la seguridad". Sin embargo, en la carta no se mencionaba que hubiera una filtración de datos, ni se aclaró qué exactamente había quedado accesible. La empresa se limitó a hablar de "añadir niveles adicionales de protección". No se sabe cuándo ni en qué forma volverá a estar en línea el servicio.

TechCrunch intentó averiguar si la aplicación había pasado alguna auditoría antes del lanzamiento y si se habían detectado indicios de acceso externo antes de la publicación de la investigación. Kiam no respondió a estas preguntas, ni aclaró si se mantienen registros del servidor que pudieran confirmar la filtración. Tampoco comentaron el incidente los fondos Upfront Ventures y Xfund, que según el fundador invirtieron en el proyecto.

Apple y Google, a los que también contactaron los periodistas, no informaron si Neon cumple sus normas para desarrolladores. Este caso no es único: con anterioridad se encontraron vulnerabilidades en otras aplicaciones populares, incluido el servicio de citas Tea, donde se expusieron datos personales y documentos de usuarios. En 2024 ocurrieron incidentes similares con Bumble y Hinge, cuando las geolocalizaciones de los usuarios podían determinarse con una precisión alarmante. A pesar de las revisiones periódicas, las tiendas de aplicaciones todavía no son capaces de evitar que lleguen al top servicios con errores graves de seguridad.

El caso de Neon muestra lo peligroso que es convertir la comunicación cotidiana en una fuente de datos para el aprendizaje automático sin una arquitectura de seguridad bien pensada. El intento de monetizar las voces humanas terminó con esas mismas voces accesibles para cualquiera que supiera abrir la dirección correspondiente en un navegador.