Una popular aplicació d'intel·ligència artificial per a Android ha deixat al descobert una enorme quantitat de contingut privat dels seus usuaris per una fallada de seguretat al núvol. L'app, especialitzada a transformar selfies i vídeos en composicions artístiques mitjançant IA, emmagatzemava sense la protecció adequada milions d'arxius personals que van quedar accessibles per a qualsevol amb la URL correcta.
La investigació, publicada per especialistes en ciberseguretat, apunta a una configuració errònia a la infraestructura de Google Cloud Storage emprada per la plataforma. A causa d'aquesta distracció tècnica, el contenidor on es guardaven els continguts multimèdia no exigia autenticació, cosa que obria la porta per visualitzar i descarregar els arxius sense cap tipus de control ni restricció.
Una fallada al núvol deixa exposats 12 TB de contingut privat
El nucli del problema estava en un bucket de Google Cloud Storage mal configurat, utilitzat per l'app de vídeo i imatges amb IA coneguda com a Video AI Art Generator & Maker. Aquest repositori al núvol, que havia d'estar protegit per polítiques d'accés restringit, estava pràcticament obert, cosa que permetia consultar els continguts amb extrema facilitat.
Segons les dades recopilades pels investigadors, la magnitud de la filtració és notable: s'estima que es van veure compromesos al voltant 12 terabytes d'arxius pertanyents a usuaris de tot el món. No es tractava només de resultats generats per la intel·ligència artificial, sinó també de materials originals que els mateixos usuaris havien pujat a la plataforma per processar-los.
Entre la informació exposada es comptabilitzen 1,57 milions d'imatges pujades directament pels clients, juntament amb uns 385.000 fragments de vídeo originals. A això se sumen al voltant de 2,87 milions de fotografies creades mitjançant algorismes d'IA i una xifra similar de clips de vídeo generats automàticament pel sistema, a més d'uns 386.000 fitxers d'àudio vinculats als projectes processats.
Tot aquest material, que havia de romandre sota estrictes mesures de protecció, podia ser consultat sense contrasenya, cosa que el convertia en un objectiu especialment desitjable tant per a curiosos com per a potencials cibercriminals interessats a explotar la informació amb fins malintencionats.
L'aplicació havia aconseguit una presència destacada a Google Joc, superant amb comoditat el mig milió de descàrregues i acumulant ressenyes positives per la facilitat d'ús i els vistosos resultats estètics que generava. Tot i això, l'incident evidencia que una bona puntuació a la botiga d'apps no n'hi ha prou per garantir que les dades personals dels usuaris estan realment fora de perill.
Una desenvolupadora amb antecedents de bretxes massives de dades
Darrere de Video AI Art Generator & Maker hi ha la companyia Codeway Dijital Hizmetler Anonim Sirketi, amb seu a Turquia, que opera part del seu negoci internacional a través de la firma Deep Flow Software Services Fzco ubicada a Unió dels Emirats Àrabs. Aquesta no és la primera ensopegada rellevant en matèria de protecció de dades per al grup.
Fa un temps, una altra de les aplicacions, Xat & Ask AI, ja havia protagonitzat una greu exposició d'informació privada degut a una mala configuració de la base de dades a Google Firebase. En aquest cas, la decisió va permetre accedir sense traves a més de 300 milions de missatges intercanviats per al voltant de 25 milions d'usuaris, deixant al descobert converses que haurien d'haver estat estrictament confidencials.
La reiteració d'incidents suggereix mancances estructurals en les pràctiques de seguretat de l'empresa desenvolupadora, des de la definició de la seva arquitectura al núvol fins a la realització d'auditories periòdiques i proves de penetració que permetin detectar errors abans que es converteixin en notícies.
Per als usuaris europeus, aquest tipus d'episodis no només desperta preocupació per la privadesa, sinó que també activa el marc del Reglament General de Protecció de Dades (GDPR). Aquesta normativa de la Unió Europea estableix obligacions molt estrictes per als qui tracten dades personals de residents a Europa, amb sancions que poden assolir els 20 milions d'euros o el 4% de la facturació global, depenent de la gravetat de l'incompliment.
Si es confirma que ciutadans de països de la UE han resultat afectats, les autoritats de protecció de dades podrien obrir investigacions formals contra la companyia, valorant si existien bases legals adequades per al tractament, si es van aplicar mesures tècniques i organitzatives suficients, i si es va notificar la bretxa dins dels terminis previstos per la llei.
Reacció de l'empresa i dubtes sobre la gestió de la crisi
Quan els especialistes en ciberseguretat van notificar la vulnerabilitat a la responsable de l'aplicació, i després de diversos intents de contacte, la companyia va acabar tancant l'accés públic al contenidor al núvol. D'aquesta manera, es va bloquejar la visualització directa dels fitxers que havien estat disponibles durant un període de temps indeterminat.
No obstant això, de moment no s'ha difós un comunicat detallat en què l'empresa expliqui de manera transparent què va passar, quant va durar exactament l'exposició ni quines mesures ha implantat per evitar un incident similar més endavant. Tampoc no es coneix si s'ha informat de manera proactiva els usuaris potencialment afectats, un aspecte clau en la gestió responsable de qualsevol bretxa de seguretat.
Aquesta manca de claredat deixa diverses incògnites a l'aire: es desconeix si tercers van arribar a descarregar massivament els continguts filtrats, si se n'ha detectat l'ús en altres plataformes en línia, o si hi ha indicis d'extorsió, xantatge o suplantacions d'identitat aprofitant el material exposat.
Experts consultats subratllen que, en situacions on s'emmagatzemen imatges i vídeos íntims o molt personals, el risc de danys emocionals i reputacionals per a les víctimes pot ser alt, fins i tot encara que no es produeixi un robatori financer directe. Per això és important que les empreses tractin aquest tipus de serveis amb un nivell de protecció equiparable al d'un banc o una companyia sanitària.
En el context europeu, a més, els reguladors valoren especialment negativament l'absència de transparència. Una comunicació deficient després d'un incident pot agreujar les conseqüències legals, ja que el GDPR exigeix notificar tant a les autoritats com, en determinats casos, als mateixos afectats, quan hi hagi un risc elevat per als seus drets i llibertats.
Riscos per als usuaris i recomanacions de seguretat
Aquest cas posa en relleu fins a quin punt confiar continguts personals pot comportar sorpreses desagradables si l'empresa darrere del servei no aplica mesures de protecció robustes. Tot i que la tecnologia resulta atractiva i còmoda, el preu a pagar pot ser molt alt si s'acaba en mans equivocades.
Per a ciutadans a Espanya i la resta d'Europa, els especialistes recomanen ser especialment prudents amb el tipus d'informació que es comparteix: convé evitar pujar fotos o vídeos de caràcter molt sensible a plataformes el funcionament intern de les quals i polítiques de seguretat es desconeixen. En molts casos, alternatives que permeten processar els continguts de forma local, sense pujar-los al núvol, redueixen notablement la superfície dexposició.
Els experts també insisteixen a revisar amb calma els permisos sol·licitats per les aplicacions abans d'instal·lar-les, així com les condicions d'ús i les polítiques de privadesa. Encara que sovint passin desapercebudes, aquestes indiquen quines dades es recopilen, durant quant de temps es conserven i amb quins tercers poden arribar a compartir-se.
D'altra banda, s'aconsella desconfiar de la idea que un nombre elevat de descàrregues o bones puntuacions a Google Play garanteixen automàticament que l'aplicació és segura. Les auditories independents i les certificacions especialitzades continuen sent la referència més fiable a lhora davaluar la solidesa de la seguretat dun servei digital.
En l'àmbit empresarial europeu, on cada cop més companyies utilitzen aplicacions d'IA per a campanyes de màrqueting o generació de continguts, els responsables de TI haurien d'establir polítiques internes clares sobre l'ús d'eines externes, incloent revisions prèvies de seguretat i acords contractuals que obliguin els proveïdors a complir el GDPR i altres normatives aplicables.
Tot el que ha passat amb aquesta app d'intel·ligència artificial per a Android mostra com un simple ajustament mal fet al núvol pot destapar milions d'arxius personals i obrir un front de problemes legals, reputacionals i de privadesa tant per a la companyia com per als seus usuaris; un recordatori que, darrere de la senzillesa aparent de pujar una foto i aplicar un filtre d'IA, hi ha una infraestructura complexa que ha d'estar blindada si no es vol posar en risc la intimitat de mig món.
