privacidad
En febrero de 2026, la empresa de ciberseguridad Oversecured publicó un informe con el que te dan ganas de hacerle un restablecimiento de fábrica a tu teléfono y mudarte a una cabaña remota en el bosque. Los investigadores auditaron 10 aplicaciones populares de salud mental para Android, que variaban entre aplicaciones para el seguimiento del estado de ánimo, terapeutas de IA y herramientas para controlar la depresión y la ansiedad… ¡Y descubrieron 1575 vulnerabilidades! Cincuenta y cuatro de esos fallos se clasificaron como críticos. Teniendo en cuenta las estadísticas de descargas en Google Play, hasta 15 millones de personas podrían verse afectadas por estas vulnerabilidades. ¿Pero qué fue lo más sorprendente? Seis de las diez aplicaciones probadas prometían explícitamente a los usuarios que sus datos estaban “totalmente cifrados y protegidos de forma segura”.
Analizaremos esta escandalosa “fuga mental”: qué es exactamente lo que se podría filtrar, cómo ocurre y por qué el “anonimato” en estos servicios suele ser solo un mito de marketing.
Qué se ha encontrado en las aplicaciones
Oversecured es una empresa de seguridad de aplicaciones móviles que utiliza un escáner especializado para analizar archivos APK, en busca de patrones de vulnerabilidades conocidos en docenas de categorías. En enero de 2026, los investigadores analizaron con el escáner diez aplicaciones de control de la salud mental de Google Play y los resultados han sido, por así decirlo, “espectaculares”.
| Tipo de aplicación | Instalaciones | Vulnerabilidades de seguridad | |||
| De gravedad alta | De gravedad media | De gravedad baja | Total | ||
| Seguimiento de estados de ánimo y hábitos | Más de 10 millones | 1 | 147 | 189 | 337 |
| Chatbot de terapia con IA | Más de 1 millón | 23 | 63 | 169 | 255 |
| Plataforma de salud emocional con IA | Más de 1 millón | 13 | 124 | 78 | 215 |
| Seguimiento de salud y síntomas | Más de 500 000 | 7 | 31 | 173 | 211 |
| Herramienta de control de la depresión | Más de 100 000 | 0 | 66 | 91 | 157 |
| Aplicación para la ansiedad basada en la TCC | Más de 500 000 | 3 | 45 | 62 | 110 |
| Terapia y comunidad de apoyo en línea | Más de 1 millón | 7 | 20 | 71 | 98 |
| Autoayuda para la ansiedad y las fobias | Más de 50 000 | 0 | 15 | 54 | 69 |
| Control del estrés militar | Más de 50 000 | 0 | 12 | 50 | 62 |
| Chatbot de TCC con IA | Más de 500 000 | 0 | 15 | 46 | 61 |
| Total | Más de 14,7 millones | 54 | 538 | 983 | 1575 |
Vulnerabilidades que se han encontrado en las 10 aplicaciones de salud mental probadas. Fuente.
La anatomía de los fallos
Las vulnerabilidades que se han descubierto son diversas, pero todas se reducen a un solo problema: darles a los atacantes acceso a datos que deberían estar bajo llave.
En primer lugar, una de estas vulnerabilidades le permite al atacante acceder a cualquier actividad interna de la aplicación, incluso a aquellas que nunca estuvieron destinadas al público. Esto abre la puerta al secuestro de tokens de autenticación y datos de sesión del usuario. Una vez que el atacante los tiene, podría básicamente obtener acceso a los registros terapéuticos del usuario.
Otro problema es el almacenamiento inseguro de los datos de forma local, con permisos de lectura concedidos a cualquier otra aplicación del dispositivo. En otras palabras, cualquier aplicación en tu teléfono inteligente, como la linterna o la calculadora, podría leer tus registros de terapia cognitivo-conductual (TCC), notas personales y evaluaciones del estado de ánimo.
Los investigadores también encontraron datos de configuración sin cifrar integrados en los archivos de instalación APK. Entre ellos, se incluían los endpoints de la API de backend y las URL codificadas de forma rígida para las bases de datos Firebase.
Además, se detectó que varias aplicaciones utilizaban la clase java.util.Random, que es criptográficamente débil, para generar tokens de sesión y claves de cifrado.
Por último, la mayoría de las aplicaciones analizadas carecían de detección de liberación de dispositivos (“root/jailbreak”). En un dispositivo liberado, cualquier aplicación de terceros con privilegios de usuario raíz podía obtener acceso total a todos los datos médicos almacenados localmente.
Sorprendentemente, de las diez aplicaciones que se han analizado, solo cuatro recibieron actualizaciones en febrero de 2026. El resto no ha recibido ningún parche desde noviembre de 2025 y hay una que no se ha modificado desde septiembre de 2024. Estar 18 meses sin un parche de seguridad es toda una vida en este sector, especialmente para una aplicación que aloja diarios del estado de ánimo, transcripciones de terapias y horarios de medicación.
Recordemos lo peligroso que puede resultar el uso indebido de este tipo de datos. En 2024, el mundo de la tecnología se vio sacudido por un ataque sofisticado contra XZ Utils, un componente clave que está en casi todos los sistemas operativos basados en el kernel de Linux. El atacante aprovechó que el desarrollador había admitido públicamente que estaba agotado y que carecía de motivación para continuar con el proyecto. De este modo, logró presionar al responsable de mantenimiento para que le entregara los permisos de compromiso de código. Si el ataque se hubiera completado, el daño habría sido inconmensurable, dado que aproximadamente el 80 % de los servidores del mundo funcionan con Linux.
¿Qué se podría filtrar?
¿Qué información recopilan y almacenan estas aplicaciones? Se trata de datos que probablemente solo compartirías con un médico de confianza: transcripciones de sesiones de terapia, registros del estado de ánimo, horarios de medicación, indicadores de autolesiones, notas de TCC y diversas escalas de evaluación clínica.
Ya en 2021, los historiales médicos completos se vendían en la dark web a 1000 $ cada uno. A modo de comparación, el número de una tarjeta de crédito robada se vende entre 5 y 30 $. Los historiales médicos contienen toda la información de identidad: nombre, dirección, datos del seguro e historial de diagnósticos. A diferencia de una tarjeta de crédito, no se puede “volver a emitir” tu historial médico. Además, el fraude médico es muy difícil de detectar. Mientras que un banco puede detectar una transacción sospechosa en cuestión de horas, un reclamo de fraude al seguro por un tratamiento fantasma puede pasar desapercibido durante años.
Ya hemos visto esta película
El estudio de Oversecured no es solo una historia de terror aislada.
En 2020, Julius Kivimäki hackeó la base de datos de la clínica de psicoterapia finlandesa Vastaamo y se llevó los registros de 33 000 pacientes. Cuando la clínica se negó a pagar un rescate de 400 000 €, Kivimäki comenzó a enviar amenazas directas a los pacientes: “Paguen 200 € en bitcoins en 24 horas o sus registros se harán públicos”. Al final, terminó filtrando toda la base de datos en la dark web. Al menos dos personas murieron por suicidio, y la clínica se vio obligada a declararse en quiebra. Finalmente, Kivimäki fue condenado a seis años y tres meses de prisión, lo que significó un juicio sin precedentes en Finlandia por el gran número de víctimas implicadas.
En 2023, la Comisión Federal de Comercio de Estados Unidos (FTC) le impuso una multa de 7,8 millones $ al gigante de la terapia en línea BetterHelp. A pesar de afirmar en su página de registro que los datos eran estrictamente confidenciales, la empresa fue sorprendida filtrando información de los usuarios (que incluía respuestas a cuestionarios de salud mental, correos electrónicos y direcciones IP) a Facebook, Snapchat, Criteo y Pinterest para utilizarla en publicidad dirigida. Después de que se calmó la tormenta, los 800 000 usuarios afectados recibieron una indemnización… Por un total de 10 $ cada uno.
En 2024, la FTC puso su atención en la empresa de telesalud Cerebral y le impuso una multa de 7 millones de dólares. Usando píxeles de seguimiento, Cerebral filtró los datos de 3,2 millones de usuarios a LinkedIn, Snapchat y TikTok. El botín incluía nombres, historiales médicos, recetas, fechas de citas e información del seguro. ¿Y la guinda del pastel? La empresa envió postales promocionales (sin sobres) a 6000 pacientes, por lo que efectivamente se estaba divulgando que los destinatarios recibían tratamiento psiquiátrico.
En septiembre de 2024, el investigador de seguridad Jeremiah Fowler se encontró con una base de datos expuesta que le pertenecía a Confidant Health, un proveedor especializado en servicios de recuperación de adicciones y salud mental. La base de datos contenía grabaciones de audio y vídeo de sesiones de terapia, transcripciones, notas psiquiátricas, resultados de pruebas de drogas e incluso copias de carnets de conducir. En total, 5,3 terabytes de datos, 126 000 archivos o 1,7 millones de registros estaban allí sin contraseña.
Por qué el anonimato es una ilusión
A los desarrolladores les encanta decir: “Nunca compartimos tus datos personales con nadie”. Técnicamente, eso podría ser cierto, ya que lo que comparten son “perfiles anonimizados”. ¿Cuál es el truco? Ya no hay que ser un genio para desanonimizar esos datos. Una investigación reciente destaca que el uso de modelos de lenguaje grande (LLM) para eliminar el anonimato se ha convertido en una realidad habitual.
Incluso el propio proceso de “anonimización” suele ser un desastre. Un estudio de la Universidad Duke reveló que los brokers de datos están vendiendo abiertamente los datos de salud mental de los estadounidenses. De los 37 brokers encuestados, 11 aceptaron vender datos relacionados con diagnósticos específicos (como depresión, ansiedad y trastorno bipolar), parámetros demográficos y, en algunos casos, incluso nombres y direcciones particulares. Los precios partían de tan solo 275 $ por 5000 registros agregados.
Según la Fundación Mozilla, en 2023, el 59 % de las aplicaciones populares de salud mental no cumplían ni siquiera con los estándares de privacidad más básicos, y el 40 % se había vuelto menos segura que el año anterior. Estas aplicaciones permitían la creación de cuentas a través de servicios de terceros (como Google, Apple y Facebook). Presentaban políticas de privacidad sospechosamente breves que les restaban importancia a los detalles sobre la recopilación de datos y empleaban un pequeño y astuto vacío legal: algunas políticas de privacidad se aplicaban estrictamente al sitio web de la empresa, pero no a la propia aplicación. En resumen, tus clics en el sitio web estaban “protegidos”, pero tus acciones dentro de la aplicación eran presa fácil.
Cómo protegerse
Eliminar por completo estas aplicaciones de tu vida es, por supuesto, la opción más segura. Pero no es la más realista. Además, no hay garantía de que puedas borrar los datos ya recopilados, incluso si eliminas tu cuenta. Anteriormente, hemos publicado acerca del agotador proceso de eliminar tu información de las bases de datos de los brokers de datos; es posible, pero prepárate para sufrir un dolor de cabeza. Entonces, ¿qué puedes hacer para mantenerte a salvo?
- Revisa los permisos antes de pulsar “Instalar”. En Google Play, ve a Descripción de la aplicación → Acerca de esta aplicación → Permisos. Una aplicación para el seguimiento del estado de ánimo no tiene por qué solicitar acceso a tu cámara, micrófono, contactos o ubicación GPS exacta. Si lo hace, no es porque se preocupe por tu bienestar, sino porque está recogiendo datos.
- Lee detenidamente la política de privacidad. Lo entendemos: nadie lee estos manifiestos de varias páginas. Pero cuando un servicio está succionando tus pensamientos más íntimos, vale la pena echarle un vistazo. Busca las señales de alerta: ¿la empresa comparte datos con terceros? ¿Puedes eliminar manualmente tus registros? ¿La política cubre explícitamente la propia aplicación o solo el sitio web? Siempre puedes introducir el texto de la política en una IA y pedirle que señale cualquier incumplimiento de la privacidad.
- Comprueba la fecha de la última actualización. Una aplicación que no se ha actualizado en más de seis meses probablemente sea un campo de juego para las vulnerabilidades sin parches. Recuerda esto: seis de las diez aplicaciones que Oversecured probó no se habían actualizado en meses.
- Desactiva todo lo que no sea esencial en la configuración de privacidad de tu teléfono. Siempre que se te solicite, elige “pedir no rastrear”. Cuando una aplicación te pide que actives un tipo específico de rastreo, alegando que es para lograr una “optimización interna”, casi siempre se trata de una estrategia de marketing más que de una necesidad funcional. Después de todo, si la aplicación realmente no funciona sin un permiso determinado, siempre puedes volver atrás y activarlo más tarde.
- No utilices los servicios para “Iniciar sesión con…”. La autenticación a través de Facebook, Apple, Google o Microsoft genera identificadores adicionales y le da a las empresas una oportunidad de oro para vincular tus datos entre diferentes plataformas.
- Piensa en todo lo que escribas como si fuera una publicación en las redes sociales. Si no quieres que un desconocido cualquiera en Internet lo lea, probablemente no deberías escribirlo en una aplicación con más de 150 vulnerabilidades que no ha recibido ningún parche desde hace dos años.
Qué más debes saber sobre la configuración de privacidad y el control de tus datos personales en línea:
Consejos