Apps de salud mental exponen datos sensibles por 1.575 vulnerabilidades

Las aplicaciones móviles de salud mental se han convertido en una herramienta clave para millones de personas que buscan apoyo frente a la depresión clínica, la ansiedad, el estrés, los ataques de pánico o el trastorno bipolar. Sin embargo, una reciente investigación revela que varias de estas apps disponibles en Google Play contienen vulnerabilidades de seguridad que podrían exponer información médica altamente sensible.

El hallazgo, dado a conocer por la firma de seguridad móvil Oversecured y compartido con BleepingComputer, pone en evidencia riesgos críticos para la privacidad de millones de usuarios que confían en estas plataformas para gestionar aspectos íntimos de su salud emocional.

Más de 1.500 vulnerabilidades detectadas en apps de terapia y bienestar

Oversecured analizó diez aplicaciones móviles de salud mental promocionadas como herramientas de apoyo emocional y detectó un total de 1.575 vulnerabilidades de seguridad, distribuidas de la siguiente forma:

• 54 vulnerabilidades de gravedad alta
• 538 vulnerabilidades de gravedad media
• 983 vulnerabilidades de gravedad baja

Aunque no se identificaron fallos clasificados como críticos, muchas de las debilidades descubiertas podrían ser explotadas para:

• Interceptar credenciales de acceso
• Suplantar notificaciones
• Ejecutar inyección de HTML
• Acceder a datos locales sin restricciones
• Localizar físicamente al usuario

El volumen de instalaciones acumuladas por las aplicaciones analizadas supera los 14,7 millones de descargas, lo que amplifica significativamente el impacto potencial.

Tipos de aplicaciones afectadas

Las aplicaciones examinadas incluyen:

• Rastreador de estados de ánimo y hábitos (10M+ descargas)
• Chatbots de terapia con IA (1M+ descargas)
• Plataformas de salud emocional con inteligencia artificial
• Herramientas de manejo de la depresión
• Apps de ansiedad basadas en Terapia Cognitivo-Conductual (TCC)
• Comunidades de apoyo online
• Aplicaciones de gestión del estrés en entornos militares

Al menos seis de las diez aplicaciones afirmaban que las conversaciones o chats permanecen privados o cifrados de forma segura en los servidores del fabricante. Sin embargo, los hallazgos técnicos contradicen parcialmente estas garantías.

El valor de los datos de salud mental en la dark web

Sergey Toshin, fundador de Oversecured, advierte sobre el alto valor de este tipo de información en mercados clandestinos:

Citar"Los datos de salud mental conllevan riesgos únicos. En la dark web, los registros de terapia se venden por 1.000 dólares o más por disco, mucho más que los números de tarjetas de crédito".

A diferencia de los datos financieros, que pueden cancelarse o reemplazarse, la información relacionada con terapia psicológica, historial emocional o indicadores de autolesión es permanente y extremadamente sensible.

Fallos técnicos detectados en las aplicaciones

1. Procesamiento inseguro de URIs

Algunas aplicaciones analizan URIs proporcionadas por los usuarios sin validación adecuada. En un caso específico, una app terapéutica con más de un millón de descargas utiliza Intent.parseUri() sobre una cadena controlada externamente y lanza el objeto resultante sin validar el componente objetivo.

Esto permitiría a un atacante forzar la apertura de actividades internas no destinadas al acceso externo. Dado que estas actividades gestionan tokens de autenticación y datos de sesión, el impacto podría incluir acceso no autorizado a registros de terapia.

2. Almacenamiento inseguro de datos locales

Varias aplicaciones almacenan información localmente de manera que cualquier otra app instalada en el dispositivo puede acceder a ella en modo lectura.

Dependiendo de los datos almacenados, esto podría exponer:

• Transcripciones de sesiones
• Notas de Terapia Cognitivo-Conductual (TCC)
• Registros de estado de ánimo
• Puntuaciones psicológicas
• Horarios de medicación
• En dispositivos rooteados (root o jailbreak), el riesgo se incrementa significativamente.

3. Uso de generadores criptográficamente inseguros

Algunas apps emplean la clase java.util.Random para generar tokens de sesión o claves de cifrado. Este método no es criptográficamente seguro y puede facilitar la predicción de valores generados, debilitando la protección de las sesiones.

4. Exposición de endpoints y credenciales en el APK

Los investigadores también encontraron:

• Endpoints de API backend en texto plano
• URL de bases de datos Firebase codificadas de forma fija
• Datos de configuración sensibles accesibles dentro de los recursos del APK

Estos elementos podrían facilitar ataques dirigidos contra la infraestructura backend de las aplicaciones.

5. Falta de detección de dispositivos rooteados

Según Oversecured, la mayoría de las aplicaciones analizadas carecen de mecanismos de detección de root. En un entorno comprometido, cualquier aplicación con privilegios elevados puede acceder a todos los datos almacenados localmente.

Actualizaciones irregulares y falta de transparencia

Solo cuatro de las diez aplicaciones recibieron actualizaciones recientes durante el mes del análisis. El resto no se actualizaba desde noviembre de 2025 o incluso septiembre de 2024.

Los escaneos se realizaron entre el 22 y el 23 de enero, evaluando las versiones más recientes disponibles en ese momento. No se ha confirmado si los desarrolladores ya han corregido las vulnerabilidades detectadas.

Por razones de divulgación responsable, no se han revelado públicamente los nombres de las aplicaciones afectadas mientras continúa el proceso de notificación.

Riesgos regulatorios y cumplimiento normativo

Algunas de estas aplicaciones manejan información potencialmente protegida bajo normativas como la ley HIPAA en Estados Unidos, lo que añade un componente legal significativo en caso de filtración de datos.

La recopilación y almacenamiento de transcripciones terapéuticas, indicadores de autolesiones y datos médicos convierte a estas plataformas en objetivos de alto valor para ciberdelincuentes.

¿Qué pueden hacer los usuarios?

Ante este escenario, los usuarios de aplicaciones de salud mental deberían:

• Verificar la fecha de la última actualización
• Revisar los permisos solicitados por la app
• Evitar instalar apps con bajo historial de mantenimiento
• No utilizar dispositivos rooteados para almacenar datos sensibles
• Leer políticas de privacidad con enfoque técnico

Además, es recomendable complementar el uso de apps con asesoramiento profesional certificado y evitar depender exclusivamente de chatbots de IA para tratamientos clínicos.

Privacidad en riesgo en el ecosistema de salud mental digital

El crecimiento explosivo de las aplicaciones de salud mental y chatbots terapéuticos con IA ha abierto nuevas oportunidades de acceso al bienestar emocional, pero también ha creado una superficie de ataque considerable.

La detección de 1.575 vulnerabilidades en solo diez aplicaciones demuestra que la seguridad móvil en el sector de la salud mental todavía presenta deficiencias estructurales. Cuando la información expuesta incluye detalles íntimos sobre depresión, ansiedad o autolesión, el impacto trasciende lo técnico y se convierte en un problema humano y social.

La industria deberá reforzar auditorías de seguridad, aplicar cifrado robusto, validar entradas adecuadamente y adoptar estándares criptográficos modernos para proteger datos que, en la dark web, valen más que una tarjeta de crédito, pero para los usuarios representan algo mucho más importante: su privacidad emocional.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login