72% del software vulnerable y 720 terabytes de datos: en pocas palabras, cómo la IA nos dejó expuestos a todos

Casi una de cada dos aplicaciones móviles con inteligencia artificial en la tienda Google Play deja las "claves" digitales directamente accesibles, sin siquiera intentar protegerlas. Un nuevo estudio de Cybernews mostró que los desarrolladores siguen incrustando datos secretos en el código, y los atacantes ya lo explotan activamente, comprometiendo servicios y obteniendo acceso a la información de los usuarios y a la infraestructura en la nube.

Los expertos analizaron 1,8 millones de aplicaciones para Android y, a continuación, seleccionaron más de 38 000 programas que declaran explícitamente usar inteligencia artificial. Los resultados fueron alarmantes. En el 72% de esas aplicaciones se detectaron secretos incrustados en el código. En promedio, una aplicación expone 5,1 parámetros sensibles. Más del 81% de todas las filtraciones están relacionadas con proyectos de Google Cloud, incluidos identificadores, puntos finales y claves de acceso a las interfaces de programación.

La incrustación de datos secretos en el código se considera una de las prácticas más peligrosas en materia de seguridad. Se trata de claves de acceso, contraseñas y otros datos que permiten conectar con servicios en la nube, bases de datos y plataformas de terceros. A pesar de ello, este enfoque sigue utilizándose de forma masiva, creando una amenaza real para los usuarios.

El estudio mostró que el problema ya pasó de la teoría a la práctica. Cientos de aplicaciones con estas vulnerabilidades fueron comprometidas por ataques automatizados. Los analistas encontraron 285 bases de datos de Firebase sin ningún tipo de protección, cuyo acceso estaba completamente abierto. Se filtraron alrededor de 1,1 GB de datos de usuarios. En el 42% de los casos las bases contenían tablas llamadas "poc", lo que significa "prueba de concepto", es decir, rastros de ataques de prueba. En algunos sistemas se hallaron cuentas de administrador con direcciones sospechosas como attacker@evil.com, lo que indica claramente una compromisión.

El problema con los almacenes en la nube Google Cloud Storage resultó aún más amplio. Debido a errores en la configuración de acceso se abrieron más de 200 millones de archivos con un volumen total de más de 720 TB de datos. En promedio, un almacén accesible contenía alrededor de 1,55 millones de archivos y 5,5 TB de información. Además, muchos servicios siguieron sin protección incluso después de signos claros de intrusión, lo que indica falta de supervisión y control por parte de los desarrolladores.

Aunque parte de los datos filtrados por sí solos no siempre son críticos, amplían considerablemente la superficie de ataque. Especialmente peligrosas son las claves de las interfaces de programación de Google, que se usan para autenticar solicitudes y dan acceso a distintos servicios de la compañía. Además de Google, en el código de las aplicaciones se encontraron datos de acceso a servicios de Amazon, plataformas de análisis, de marketing, bases de usuarios y soluciones propias de servidor de los desarrolladores. En segundo lugar por frecuencia de filtraciones se ubicaron los identificadores de Facebook, que normalmente se usan para autorización, análisis y publicidad.

Una amenaza aparte la constituyen las claves de servicios relacionados con dinero y cuentas de usuario. Entre ellas se detectaron datos para trabajar con plataformas de pago y programas de fidelidad. En los casos más peligrosos se hallaron claves secretas de Stripe, que dan control total sobre la infraestructura de pagos, incluyendo cargos, reembolsos, creación de facturas y redirección de fondos a cuentas de los atacantes.

En este contexto, la noticia relativamente buena es que las claves de acceso a servicios de grandes modelos de lenguaje se encontraron con poca frecuencia. Los investigadores casi no hallaron filtraciones de datos para sistemas como OpenAI, Google Gemini y Claude. Incluso en los casos en los que las claves existían, en su mayoría solo permitían enviar nuevas solicitudes, pero no daban acceso al historial de diálogos ni a los datos guardados de los usuarios.

Los especialistas también señalaron otro problema. Miles de aplicaciones contienen enlaces a recursos en la nube que ya no existen. Los proyectos están cerrados, los almacenes eliminados, pero las referencias a ellos siguen en el código. Esto evidencia una mala higiene en el desarrollo y crea ruido adicional para los sistemas de defensa, además de nuevas oportunidades para ataques.

Según Cybernews, la situación en Android se replica casi por completo en el ecosistema iOS. En un estudio anterior se determinó que alrededor del 70,9% de las aplicaciones para iPhone también contienen secretos incrustados, con un promedio de 5,52 por aplicación. La mayor parte de ellos también está relacionada con Google Cloud. Esto confirma que el problema es de carácter sistémico y no depende de la plataforma.

De hecho, el mercado de aplicaciones móviles con inteligencia artificial crece más rápido que la cultura de desarrollo seguro. Mientras los desarrolladores sigan incrustando datos secretos directamente en el código, los usuarios seguirán siendo vulnerables ante ataques automatizados masivos, filtraciones de datos y pérdidas financieras.