Dos apps de novias de IA exponen conversaciones íntimas de más de 400.000 usuarios

Las apps de compañía virtual con inteligencia artificial prometen privacidad absoluta para conversaciones que, por su naturaleza, suelen ser bastante personales. Pues bien, resulta que dos apps de novias de IA han dejado expuestos los datos de más de 400.000 usuarios, según se recoge en Cybernews. Hablamos de millones de conversaciones íntimas, fotos enviadas por los usuarios, direcciones IP y registros de compras que alcanzan los miles de dólares en algunos casos.

La filtración se descubrió el 28 de agosto de 2025, cuando investigadores se toparon con una instancia de Kafka Broker completamente expuesta y sin ningún tipo de protección. Este sistema gestionaba los mensajes privados entre usuarios e instancias de IA en dos apps: Chattee Chat y GiMe Chat. El servidor contenía más de 43 millones de mensajes, más de 600.000 imágenes y vídeos compartidos o generados por las IA. Todo accesible para quien supiera dónde mirar.

Cuando confías tus secretos a quien no sabe guardarlos

Los investigadores de Cybernews son claros: prácticamente ningún contenido del servidor era apto para el trabajo. Las apps prometían privacidad, los usuarios confiaban sus conversaciones más íntimas, y mientras tanto el servidor estaba abierto de par en par sin autenticación ni controles de acceso. Cualquiera con el enlace podía ver todo lo enviado y recibido por los usuarios.

Chattee ocupaba el puesto 121 en entretenimiento de la App Store cuando se descubrió la brecha. La app había sido descargada más de 300.000 veces, principalmente por usuarios estadounidenses. Durante la investigación, Chattee desapareció de Google Play Store y el desarrollador instruyó a los usuarios para descargar el APK directamente. Una decisión que dice bastante sobre cómo entienden la seguridad.

La filtración no incluía nombres o direcciones de email directamente, pero sí exponía direcciones IP e identificadores únicos de dispositivos. Datos que pueden cruzarse con otras filtraciones masivas para identificar a las personas. Cada usuario envió una media de 107 mensajes a sus compañeros de IA, y esa información, sumada a las imágenes y vídeos, ofrece material más que suficiente para identificar o acosar a alguien.

Los registros de compras muestran casos extremos: algunos usuarios gastaron hasta 18.000 dólares en moneda virtual. Las transacciones filtradas sugieren que el desarrollador ha ingresado más de un millón de dólares. Cybernews informó del problema de forma responsable, pero la compañía no respondió a las peticiones de comentarios. El servidor ya estaba indexado por motores de búsqueda de dispositivos IoT, visible para quien quisiera buscar.

Que te vinculen con el uso de una app de novias virtuales puede tener consecuencias reputacionales serias. Los atacantes tienen en estos datos todo lo necesario para campañas de sextorsión, phishing dirigido o ataques personalizados. Las instancias de Kafka Broker mal configuradas son más habituales de lo que debieran. Gmail sufrió hace poco una brecha que comprometió datos de 2.500 millones de usuarios tras un ataque a sistemas de Salesforce.

La cronología de este caso no deja muy bien parado a nadie: filtración descubierta el 29 de agosto, brecha cerrada el 19 de septiembre. Tres semanas con los datos expuestos en las que cualquiera con conocimientos básicos podría haber accedido a conversaciones íntimas de más de 400.000 personas.