Investigadores de seguridad han denunciado una filtración masiva de datos de usuarios de una app de teclado virtual llamada Ai.Type, con versiones en varios idiomas, incluido el castellano, para móviles y tabletas Android y iOS (el sistema operativo móvil de Apple). La app, creada por una start-up de Tel-Aviv (Israel) en el 2010, tiene 31.293.959 usuarios y más de 40 millones de descargas solo en la Google Play (aparte están los datos de la Apple Store, que no se han dado a conocer). Ai.Type es un teclado predictivo que utiliza programas de inteligencia artificial para evitarle al usuario teclear palabras innecesariamente.

La empresa tenía previsto añadirle a su app el uso de bots en una funcionalidad que se iba a llamar Plataforma de descubrimiento de bots y que iba a consistir en herramientas para automatizar más procesos. Para ello solicitaba todo tipo de información de uso de servicios y aplicaciones de cada dispositivo. Para hacerlo más fácil, incluía un modo de privacidad por defecto que daba «acceso total» a todos los datos del teléfono o la tableta pasados y presentes. La filtración de 577 gigabytes (Gb) de datos, que han sido publicados en foros, ha sido posible por un fallo en la configuración de la base de datos basada en MongoDB, un programa muy habitual que por lo visto presenta grandes riesgos de seguridad (como exponer todo el archivo a cualquiera que se conecte) si no se configura bien.

El servidor de Ai.Type quedó completamente expuesto y los piratas informáticos han podido descargar toda la información que almacenaba, que era «un tesoro inusual que la mayoría de usuarios no espera que pueda ser extraído de su móvil o tableta», según explica el Kromtech Security Center, descubridores del fallo.

La filtración incluye perfiles de cada cliente con nombre, número de teléfono, tipo de dispositivo y modelo, idioma, IMEI, correo electrónico, país de residencia, enlaces a redes sociales, fotos, detalles de localización, conexión IP, cumpleaños y otros detalles expuestos en redes sociales. Curiosamente, en Kromtech no hablan de que se hayan filtrado números de tarjetas de crédito, cuando la app advierte de que permite compras dentro de la aplicación.