{"id":31933,"date":"2026-03-18T08:00:42","date_gmt":"2026-03-18T06:00:42","guid":{"rendered":"https:\/\/www.kaspersky.es\/blog\/?p=31933"},"modified":"2026-03-18T17:48:41","modified_gmt":"2026-03-18T15:48:41","slug":"mental-health-apps-issues-2026","status":"publish","type":"post","link":"https:\/\/www.kaspersky.es\/blog\/mental-health-apps-issues-2026\/31933\/","title":{"rendered":"Las vulnerabilidades de las aplicaciones de salud mental"},"content":{"rendered":"

En febrero de 2026, la empresa de ciberseguridad Oversecured public\u00f3 un informe con el que te dan ganas de hacerle un restablecimiento de f\u00e1brica a tu tel\u00e9fono y mudarte a una caba\u00f1a remota en el bosque. Los investigadores auditaron<\/a> 10 aplicaciones populares de salud mental para Android, que variaban entre aplicaciones para el seguimiento del estado de \u00e1nimo, terapeutas de IA y herramientas para controlar la depresi\u00f3n y la ansiedad\u2026 \u00a1Y descubrieron 1575 vulnerabilidades! Cincuenta y cuatro de esos fallos se clasificaron como cr\u00edticos. Teniendo en cuenta las estad\u00edsticas de descargas en Google Play, hasta 15 millones de personas podr\u00edan verse afectadas por estas vulnerabilidades. \u00bfPero qu\u00e9 fue lo m\u00e1s sorprendente? Seis de las diez aplicaciones probadas promet\u00edan expl\u00edcitamente a los usuarios que sus datos estaban \u201ctotalmente cifrados y protegidos de forma segura\u201d.<\/p>\n

Analizaremos esta escandalosa \u201cfuga mental\u201d: qu\u00e9 es exactamente lo que se podr\u00eda filtrar, c\u00f3mo ocurre y por qu\u00e9 el \u201canonimato\u201d en estos servicios suele ser solo un mito de marketing.<\/p>\n

Qu\u00e9 se ha encontrado en las aplicaciones<\/h2>\n

Oversecured es una empresa de seguridad de aplicaciones m\u00f3viles que utiliza un esc\u00e1ner especializado para analizar archivos APK, en busca de patrones de vulnerabilidades conocidos en docenas de categor\u00edas. En enero de 2026, los investigadores analizaron con el esc\u00e1ner diez aplicaciones de control de la salud mental de Google Play y los resultados han sido, por as\u00ed decirlo, \u201cespectaculares\u201d.<\/p>\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n
Tipo de aplicaci\u00f3n<\/td>\nInstalaciones<\/td>\nVulnerabilidades de seguridad<\/td>\n<\/tr>\n
De gravedad alta<\/td>\nDe gravedad media<\/td>\nDe gravedad baja<\/td>\nTotal<\/td>\n<\/tr>\n
Seguimiento de estados de \u00e1nimo y h\u00e1bitos<\/td>\nM\u00e1s de 10 millones<\/td>\n1<\/td>\n147<\/td>\n189<\/td>\n337<\/td>\n<\/tr>\n
Chatbot de terapia con IA<\/td>\nM\u00e1s de 1 mill\u00f3n<\/td>\n23<\/td>\n63<\/td>\n169<\/td>\n255<\/td>\n<\/tr>\n
Plataforma de salud emocional con IA<\/td>\nM\u00e1s de 1 mill\u00f3n<\/td>\n13<\/td>\n124<\/td>\n78<\/td>\n215<\/td>\n<\/tr>\n
Seguimiento de salud y s\u00edntomas<\/td>\nM\u00e1s de 500\u00a0000<\/td>\n7<\/td>\n31<\/td>\n173<\/td>\n211<\/td>\n<\/tr>\n
Herramienta de control de la depresi\u00f3n<\/td>\nM\u00e1s de 100\u00a0000<\/td>\n0<\/td>\n66<\/td>\n91<\/td>\n157<\/td>\n<\/tr>\n
Aplicaci\u00f3n para la ansiedad basada en la TCC<\/td>\nM\u00e1s de 500\u00a0000<\/td>\n3<\/td>\n45<\/td>\n62<\/td>\n110<\/td>\n<\/tr>\n
Terapia y comunidad de apoyo en l\u00ednea<\/td>\nM\u00e1s de 1 mill\u00f3n<\/td>\n7<\/td>\n20<\/td>\n71<\/td>\n98<\/td>\n<\/tr>\n
Autoayuda para la ansiedad y las fobias<\/td>\nM\u00e1s de 50\u00a0000<\/td>\n0<\/td>\n15<\/td>\n54<\/td>\n69<\/td>\n<\/tr>\n
Control del estr\u00e9s militar<\/td>\nM\u00e1s de 50\u00a0000<\/td>\n0<\/td>\n12<\/td>\n50<\/td>\n62<\/td>\n<\/tr>\n
Chatbot de TCC con IA<\/td>\nM\u00e1s de 500\u00a0000<\/td>\n0<\/td>\n15<\/td>\n46<\/td>\n61<\/td>\n<\/tr>\n
Total<\/strong><\/td>\nM\u00e1s de 14,7 millones<\/strong><\/td>\n54<\/strong><\/td>\n538<\/strong><\/td>\n983<\/strong><\/td>\n1575<\/strong><\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n
\n

Vulnerabilidades que se han encontrado en las 10 aplicaciones de salud mental probadas. Fuente<\/a>.<\/p>\n<\/div>\n

La anatom\u00eda de los fallos<\/h2>\n

Las vulnerabilidades que se han descubierto son diversas, pero todas se reducen a un solo problema: darles a los atacantes acceso a datos que deber\u00edan estar bajo llave.<\/p>\n

En primer lugar, una de estas vulnerabilidades le permite al atacante acceder a cualquier actividad interna de la aplicaci\u00f3n, incluso a aquellas que nunca estuvieron destinadas al p\u00fablico. Esto abre la puerta al secuestro de tokens de autenticaci\u00f3n y datos de sesi\u00f3n del usuario. Una vez que el atacante los tiene, podr\u00eda b\u00e1sicamente obtener acceso a los registros terap\u00e9uticos del usuario.<\/p>\n

Otro problema es el almacenamiento inseguro de los datos de forma local, con permisos de lectura concedidos a cualquier otra aplicaci\u00f3n del dispositivo. En otras palabras, cualquier aplicaci\u00f3n en tu tel\u00e9fono inteligente, como la linterna o la calculadora, podr\u00eda leer tus registros de terapia cognitivo-conductual (TCC), notas personales y evaluaciones del estado de \u00e1nimo.<\/p>\n

Los investigadores tambi\u00e9n encontraron datos de configuraci\u00f3n sin cifrar integrados en los archivos de instalaci\u00f3n APK. Entre ellos, se inclu\u00edan los endpoints de la API de backend y las URL codificadas de forma r\u00edgida para las bases de datos Firebase.<\/p>\n

Adem\u00e1s, se detect\u00f3 que varias aplicaciones utilizaban la clase java.util.Random<\/em>, que es criptogr\u00e1ficamente d\u00e9bil, para generar tokens de sesi\u00f3n y claves de cifrado.<\/p>\n

Por \u00faltimo, la mayor\u00eda de las aplicaciones analizadas carec\u00edan de detecci\u00f3n de liberaci\u00f3n de dispositivos (\u201croot\/jailbreak\u201d). En un dispositivo liberado, cualquier aplicaci\u00f3n de terceros con privilegios de usuario ra\u00edz pod\u00eda obtener acceso total a todos los datos m\u00e9dicos almacenados localmente.<\/p>\n

Sorprendentemente, de las diez aplicaciones que se han analizado, solo cuatro recibieron actualizaciones en febrero de 2026. El resto no ha recibido ning\u00fan parche desde noviembre de 2025 y hay una que no se ha modificado desde septiembre de 2024. Estar 18 meses sin un parche de seguridad es toda una vida en este sector, especialmente para una aplicaci\u00f3n que aloja diarios del estado de \u00e1nimo, transcripciones de terapias y horarios de medicaci\u00f3n.<\/p>\n

Recordemos lo peligroso que puede resultar el uso indebido de este tipo de datos. En 2024, el mundo de la tecnolog\u00eda se vio sacudido por un ataque sofisticado contra XZ Utils<\/a>, un componente clave que est\u00e1 en casi todos los sistemas operativos basados en el kernel de Linux. El atacante aprovech\u00f3 que el desarrollador hab\u00eda admitido p\u00fablicamente que estaba agotado y que carec\u00eda de motivaci\u00f3n para continuar con el proyecto. De este modo, logr\u00f3 presionar al responsable de mantenimiento para que le entregara los permisos de compromiso de c\u00f3digo. Si el ataque se hubiera completado, el da\u00f1o habr\u00eda sido inconmensurable, dado que aproximadamente el 80\u00a0% de los servidores del mundo funcionan con Linux.<\/p>\n

\u00bfQu\u00e9 se podr\u00eda filtrar?<\/h2>\n

\u00bfQu\u00e9 informaci\u00f3n recopilan y almacenan estas aplicaciones? Se trata de datos que probablemente solo compartir\u00edas con un m\u00e9dico de confianza: transcripciones de sesiones de terapia, registros del estado de \u00e1nimo, horarios de medicaci\u00f3n, indicadores de autolesiones, notas de TCC y diversas escalas de evaluaci\u00f3n cl\u00ednica.<\/p>\n

Ya en 2021, los historiales m\u00e9dicos completos se vend\u00edan en la dark web a 1000 $ cada uno<\/a>. A modo de comparaci\u00f3n, el n\u00famero de una tarjeta de cr\u00e9dito robada se vende entre 5 y 30 $. Los historiales m\u00e9dicos contienen toda la informaci\u00f3n de identidad: nombre, direcci\u00f3n, datos del seguro e historial de diagn\u00f3sticos. A diferencia de una tarjeta de cr\u00e9dito, no se puede \u201cvolver a emitir\u201d tu historial m\u00e9dico. Adem\u00e1s, el fraude m\u00e9dico es muy dif\u00edcil de detectar. Mientras que un banco puede detectar una transacci\u00f3n sospechosa en cuesti\u00f3n de horas, un reclamo de fraude al seguro por un tratamiento fantasma puede pasar desapercibido durante a\u00f1os.<\/p>\n

Ya hemos visto esta pel\u00edcula<\/h2>\n

El estudio de Oversecured no es solo una historia de terror aislada.<\/p>\n

En 2020, Julius Kivim\u00e4ki hacke\u00f3 la base de datos de la cl\u00ednica de psicoterapia finlandesa Vastaamo<\/a> y se llev\u00f3 los registros de 33 000 pacientes. Cuando la cl\u00ednica se neg\u00f3 a pagar un rescate de 400 000 \u20ac, Kivim\u00e4ki comenz\u00f3 a enviar amenazas directas a los pacientes: \u201cPaguen 200 \u20ac en bitcoins en 24 horas o sus registros se har\u00e1n p\u00fablicos\u201d. Al final, termin\u00f3 filtrando toda la base de datos en la dark web. Al menos dos personas murieron por suicidio, y la cl\u00ednica se vio obligada a declararse en quiebra. Finalmente, Kivim\u00e4ki fue condenado a seis a\u00f1os y tres meses de prisi\u00f3n, lo que signific\u00f3 un juicio sin precedentes en Finlandia por el gran n\u00famero de v\u00edctimas implicadas.<\/p>\n

En 2023, la Comisi\u00f3n Federal de Comercio de Estados Unidos (FTC) le impuso una multa de 7,8 millones $ al gigante de la terapia en l\u00ednea BetterHelp<\/a>. A pesar de afirmar en su p\u00e1gina de registro que los datos eran estrictamente confidenciales, la empresa fue sorprendida filtrando informaci\u00f3n de los usuarios (que inclu\u00eda respuestas a cuestionarios de salud mental, correos electr\u00f3nicos y direcciones IP) a Facebook, Snapchat, Criteo y Pinterest para utilizarla en publicidad dirigida. Despu\u00e9s de que se calm\u00f3 la tormenta, los 800 000 usuarios afectados recibieron una indemnizaci\u00f3n\u2026 Por un total de 10 $ cada uno.<\/p>\n

En 2024, la FTC puso su atenci\u00f3n en la empresa de telesalud Cerebral<\/a> y le impuso una multa de 7 millones de d\u00f3lares. Usando p\u00edxeles de seguimiento<\/a>, Cerebral filtr\u00f3 los datos de 3,2 millones de usuarios a LinkedIn, Snapchat y TikTok. El bot\u00edn inclu\u00eda nombres, historiales m\u00e9dicos, recetas, fechas de citas e informaci\u00f3n del seguro. \u00bfY la guinda del pastel? La empresa envi\u00f3 postales promocionales (sin sobres) a 6000 pacientes, por lo que efectivamente se estaba divulgando que los destinatarios recib\u00edan tratamiento psiqui\u00e1trico.<\/p>\n

En septiembre de 2024, el investigador de seguridad Jeremiah Fowler se encontr\u00f3 con una base de datos expuesta que le pertenec\u00eda a Confidant Health<\/a>, un proveedor especializado en servicios de recuperaci\u00f3n de adicciones y salud mental. La base de datos conten\u00eda grabaciones de audio y v\u00eddeo de sesiones de terapia, transcripciones, notas psiqui\u00e1tricas, resultados de pruebas de drogas e incluso copias de carnets de conducir. En total, 5,3 terabytes de datos, 126\u00a0000 archivos o 1,7 millones de registros estaban all\u00ed sin contrase\u00f1a.<\/p>\n

Por qu\u00e9 el anonimato es una ilusi\u00f3n<\/h2>\n

A los desarrolladores les encanta decir: \u201cNunca compartimos tus datos personales con nadie\u201d. T\u00e9cnicamente, eso podr\u00eda ser cierto, ya que lo que comparten son \u201cperfiles anonimizados\u201d. \u00bfCu\u00e1l es el truco? Ya no hay que ser un genio para desanonimizar esos datos. Una investigaci\u00f3n<\/a> reciente destaca que el uso de modelos de lenguaje grande (LLM) para eliminar el anonimato se ha convertido en una realidad habitual.<\/p>\n

Incluso el propio proceso de \u201canonimizaci\u00f3n\u201d suele ser un desastre. Un estudio de la Universidad Duke<\/a> revel\u00f3 que los brokers de datos est\u00e1n vendiendo abiertamente los datos de salud mental de los estadounidenses. De los 37 brokers encuestados, 11 aceptaron vender datos relacionados con diagn\u00f3sticos espec\u00edficos (como depresi\u00f3n, ansiedad y trastorno bipolar), par\u00e1metros demogr\u00e1ficos y, en algunos casos, incluso nombres y direcciones particulares. Los precios part\u00edan de tan solo 275 $ por 5000 registros agregados.<\/p>\n

Seg\u00fan la Fundaci\u00f3n Mozilla<\/a>, en 2023, el 59\u00a0% de las aplicaciones populares de salud mental no cumpl\u00edan ni siquiera con los est\u00e1ndares de privacidad m\u00e1s b\u00e1sicos, y el 40\u00a0% se hab\u00eda vuelto menos segura que el a\u00f1o anterior. Estas aplicaciones permit\u00edan la creaci\u00f3n de cuentas a trav\u00e9s de servicios de terceros (como Google, Apple y Facebook). Presentaban pol\u00edticas de privacidad sospechosamente breves que les restaban importancia a los detalles sobre la recopilaci\u00f3n de datos y empleaban un peque\u00f1o y astuto vac\u00edo legal: algunas pol\u00edticas de privacidad se aplicaban estrictamente al sitio web de la empresa, pero no a la propia aplicaci\u00f3n. En resumen, tus clics en el sitio web estaban \u201cprotegidos\u201d, pero tus acciones dentro de la aplicaci\u00f3n eran presa f\u00e1cil.<\/p>\n

C\u00f3mo protegerse<\/h2>\n

Eliminar por completo estas aplicaciones de tu vida es, por supuesto, la opci\u00f3n m\u00e1s segura. Pero no es la m\u00e1s realista. Adem\u00e1s, no hay garant\u00eda de que puedas borrar los datos ya recopilados, incluso si eliminas tu cuenta. Anteriormente, hemos publicado acerca del agotador proceso de eliminar tu informaci\u00f3n de las bases de datos de los brokers de datos<\/a>; es posible, pero prep\u00e1rate para sufrir un dolor de cabeza. Entonces, \u00bfqu\u00e9 puedes hacer para mantenerte a salvo?<\/p>\n