¡Atención, usuarios de Android! Varias aplicaciones populares de salud mental, con alrededor de 14.7 millones de descargas en Google Play Store, podrían estar poniendo en riesgo sus datos. Según una investigación de Oversecured (vía Bleeping Computer), múltiples aplicaciones de salud mental, incluyendo chatbots de terapia basados en inteligencia artificial, contienen vulnerabilidades capaces de exponer conversaciones terapéuticas privadas, registros de estado de ánimo y detalles médicos.
En un caso, los investigadores encontraron más de 85 fallos de seguridad de riesgo medio y alto en una sola aplicación. El informe señala que algunas de estas aplicaciones –con millones de descargas a nivel mundial– afirman ofrecer privacidad y encriptación en los servidores del proveedor.
“Los datos de salud mental conllevan riesgos únicos. En la dark web, los registros de terapia se venden por $1,000 o más por registro, muy por encima de los números de tarjetas de crédito”, afirma Sergey Toshin, fundador de la empresa de seguridad móvil Oversecured.
Se detectaron un total de 1,575 fallos de seguridad
En su investigación, Oversecured escaneó diez aplicaciones móviles anunciadas como herramientas que pueden ayudar con diversos problemas de salud mental. Durante el estudio, la organización descubrió un total de 1,575 vulnerabilidades de seguridad (54 calificadas como de alta gravedad, 538 de gravedad media y 983 de baja gravedad). Aunque no son críticas, estas vulnerabilidades pueden ser explotadas para interceptar credenciales de inicio de sesión, suplantar notificaciones, inyección de HTML o para localizar al usuario.
“Estas aplicaciones recopilan y almacenan algunos de los datos personales más sensibles en dispositivos móviles: transcripciones de sesiones de terapia, registros de estado de ánimo, horarios de medicación, indicadores de autolesiones y, en algunos casos, información protegida bajo HIPAA”, señalan los investigadores.
Cómo se utilizan indebidamente las fallas
Según el informe, algunas aplicaciones manejan incorrectamente enlaces y comandos de fuentes externas. Esto podría permitir a los atacantes acceder a partes internas de la aplicación que no deberían estar expuestas, incluyendo áreas que manejan tokens de inicio de sesión o datos de sesión. En términos sencillos, un hacker podría engañar a una aplicación para que abra secciones protegidas y acceda a registros de terapia.
Una aplicación de terapia con más de un millón de descargas supuestamente utiliza Intent.parseUri() en una cadena controlada externamente y lanza el objeto de mensajería (intent) resultante sin validar el componente de destino. Esto permite a un atacante forzar a la aplicación a abrir cualquier actividad interna, incluso si no está destinada al acceso externo.
“Dado que estas actividades internas a menudo manejan tokens de autenticación y datos de sesión, la explotación podría dar a un atacante acceso a los registros de terapia de un usuario”, indica la investigación de Oversecured.
Otras aplicaciones fueron encontradas almacenando información sensible localmente de maneras que cualquier aplicación en el teléfono podría leer. Esto podría exponer notas de sesiones de TCC, puntuaciones de estado de ánimo y diarios personales. Los investigadores también encontraron datos de configuración no protegidos, como direcciones de servidores backend, y el uso de generadores de números aleatorios débiles para claves de seguridad.
Muchas de las aplicaciones también carecen de protecciones básicas como la detección de root, según el estudio. Esto significa que en un teléfono rooteado, otras aplicaciones podrían acceder libremente a los datos de salud almacenados.
Preocupan las actualizaciones limitadas
En su investigación, Oversecured también observó que la mayoría de estas aplicaciones aún tenían problemas de nivel medio que debilitan la seguridad general. Solo cuatro de las diez aplicaciones habían sido actualizadas recientemente, mientras que otras no habían visto actualizaciones desde finales de 2025 o incluso 2024.
Los escaneos se llevaron a cabo a finales de enero de 2026, y los investigadores indicaron que no podían confirmar si los problemas han sido solucionados desde entonces.
