Las brechas de seguridad en empresas y sus usuarios suelen tener un origen común: errores de configuración, una problemática mucho más extendida de lo que se piensa. El crecimiento explosivo de las aplicaciones móviles de Inteligencia Artificial (IA), que atraen a millones de usuarios, multiplica el impacto de estos fallos. Google Firebase, una plataforma de desarrollo de apps móviles que ofrece servicios en la nube como bases de datos, autenticación y análisis, ha sido protagonista de un reciente incidente. Un especialista en ciberseguridad detectó que una configuración incorrecta en Firebase permitía que cualquier persona se autenticara y accediera al almacenamiento interno de ciertas aplicaciones, exponiendo datos sensibles de los usuarios. El caso salió a la luz tras la investigación de 404 Media, que reveló la vulnerabilidad en Chat&Ask AI, una de las apps de IA más populares en Google Play y App Store, desarrollada por la empresa turca Codeway. Con más de 50 millones de usuarios, la aplicación dejó expuestos cientos de millones de mensajes privados. El experto aseguró haber accedido a 300 millones de mensajes de más de 25 millones de usuarios, extrayendo y analizando una muestra significativa. Codeway solucionó el fallo en cuestión de horas en todas sus aplicaciones. La gravedad del incidente aumenta al considerar que muchos mensajes contenían información extremadamente sensible, como consultas sobre salud mental, suicidio, drogas o hackeo de aplicaciones. Entre los datos expuestos figuraban historiales completos de chats, marcas de tiempo, nombres personalizados de chatbots y la configuración de modelos de IA utilizados, incluyendo ChatGPT, Claude y Gemini. Este tipo de error de configuración es frecuente en Firebase, ya que deja las reglas de seguridad abiertas y permite que cualquier persona con la URL del proyecto pueda leer, modificar o eliminar datos sin autenticación. A pesar de las advertencias de expertos, la situación persiste: el investigador halló la misma vulnerabilidad en 103 de 200 apps de iOS analizadas, lo que implica decenas de millones de archivos en riesgo. Sorprende que, tras un incidente similar en 2024 que expuso casi 20 millones de secretos, los desarrolladores sigan cometiendo estos errores. En aquel caso, configuraciones incorrectas permitieron el acceso a credenciales, claves API y otros datos confidenciales. Para ayudar a identificar apps vulnerables, el experto ha lanzado Firehound, una web que lista aplicaciones afectadas y las elimina cuando sus desarrolladores corrigen el fallo. Además, cabe recordar que en julio de 2025 se descubrió que Google indexaba conversaciones de ChatGPT compartidas, haciéndolas públicas, aunque este problema ya fue resuelto. Más allá de la ciberseguridad, este hallazgo subraya la necesidad urgente de regular las aplicaciones de IA, ya que entre los datos expuestos había preguntas sobre suicidio, recetas de drogas y desinformación. Las apps de salud mental no pueden sustituir a profesionales cualificados y su uso puede agravar problemas, además de poner en riesgo la privacidad de los usuarios. El año pasado, The New York Times documentó cómo los chatbots de IA pueden afectar negativamente la vida de las personas, citando casos en los que ChatGPT habría influido en decisiones fatales. Estos hechos refuerzan la urgencia de limitar las capacidades y el uso de la IA para proteger a los usuarios. (Fuente: publico.es)