¡Usuarios de Android, atención! Varias aplicaciones populares de salud mental, con alrededor de 14,7 millones de descargas en Google Play Store, podrían estar comprometiendo la seguridad de los datos personales. Según una investigación de Oversecured (citada por Bleeping Computer), múltiples apps, incluidos chatbots terapéuticos basados en inteligencia artificial, presentan vulnerabilidades capaces de exponer conversaciones privadas de terapia, registros de estado de ánimo y datos médicos sensibles.
En uno de los casos, los investigadores identificaron más de 85 fallos de seguridad de riesgo medio y alto en una sola aplicación. Aunque algunas plataformas aseguran ofrecer privacidad y cifrado en los servidores del proveedor, los expertos advierten que los datos de salud mental tienen un alto valor en el mercado ilegal. “Los registros terapéuticos pueden venderse por más de 1.000 dólares cada uno en la dark web, mucho más que los números de tarjetas de crédito”, señaló Sergey Toshin, fundador de Oversecured.
Un total de 1.575 vulnerabilidades detectadas El estudio analizó diez aplicaciones móviles promocionadas como herramientas para tratar distintos problemas de salud mental. En total, se descubrieron 1.575 fallos de seguridad: 54 de alta gravedad, 538 de gravedad media y 983 de baja gravedad. Aunque muchos no se consideran críticos, pueden ser explotados para interceptar credenciales de acceso, falsificar notificaciones, realizar inyecciones HTML o incluso rastrear la ubicación del usuario.
Estas aplicaciones almacenan algunos de los datos más sensibles en dispositivos móviles, como transcripciones de sesiones terapéuticas, registros emocionales, horarios de medicación e indicadores relacionados con autolesiones, además de información protegida por normativas médicas en algunos países.
Cómo pueden explotarse los fallos El informe señala que algunas aplicaciones gestionan incorrectamente enlaces o comandos externos, lo que permitiría a atacantes acceder a partes internas que deberían permanecer protegidas, incluidas áreas relacionadas con tokens de autenticación o datos de sesión. En términos simples, un hacker podría engañar a la aplicación para abrir secciones restringidas y acceder a historiales terapéuticos.
Una aplicación con más de un millón de descargas, por ejemplo, utilizaba la función Intent.parseUri() con cadenas externas sin validar el destino, permitiendo abrir actividades internas no destinadas al acceso externo.
Además, otras apps almacenaban información sensible localmente de forma insegura, lo que permitiría que otras aplicaciones del mismo teléfono accedieran a notas de terapia cognitivo-conductual, puntuaciones emocionales o diarios personales. También se detectaron configuraciones sin protección, direcciones de servidores expuestas y el uso de generadores aleatorios débiles para claves de seguridad.
Muchas aplicaciones tampoco incluían protecciones básicas, como la detección de dispositivos con acceso root, lo que facilitaría aún más el acceso a los datos almacenados.
Actualizaciones limitadas generan preocupación El análisis también reveló que solo cuatro de las diez aplicaciones habían recibido actualizaciones recientes, mientras que otras no se actualizaban desde finales de 2025 o incluso desde 2024. Las pruebas se realizaron a finales de enero de 2026, y los investigadores señalaron que no pudieron confirmar si los problemas ya han sido corregidos.
