NUEVO¡Ahora puedes escuchar los artículos de Fox Information!
Apple suele promocionar la App Retailer como un lugar seguro para descargar aplicaciones. La compañía destaca revisiones estrictas y un sistema cerrado como protecciones clave para los usuarios de iPhone. Esa reputación ahora enfrenta serios cuestionamientos.
Una nueva investigación muestra que miles de aplicaciones de iOS aprobadas por Apple contienen fallas de seguridad ocultas. Estas fallas pueden exponer los datos de los usuarios, el almacenamiento en la nube e incluso los sistemas de pago.
El problema no es el malware; son malas prácticas de seguridad integradas directamente en el código de la aplicación.
Regístrese para recibir mi informe CyberGuy GRATIS
Reciba mis mejores consejos técnicos, alertas de seguridad urgentes y ofertas exclusivas directamente en su bandeja de entrada. Además, obtendrás acceso instantáneo a mi Guía definitiva para sobrevivir a estafas, free of charge si te unes a mi CYBERGUY.COM hoja informativa.
APPLE ADVIERTE QUE MILLONES DE IPHONES ESTÁN EXPUESTOS A ATAQUES
Los investigadores de Cybernews descubrieron que muchas aplicaciones de iOS almacenan secretos confidenciales directamente dentro de los archivos de la aplicación, donde se pueden extraer fácilmente. (Kurt “CyberGuy” Knutsson)
Lo que los investigadores descubrieron dentro de las aplicaciones de iOS
Los investigadores de seguridad de Cybernews, una empresa de investigación de ciberseguridad, analizaron el código de más de 156.000 aplicaciones de iPhone. Eso representa alrededor del 8% de todas las aplicaciones disponibles en todo el mundo.
Esto es lo que encontraron:
- Más de 815.000 secretos ocultos dentro del código de la aplicación
- Una media de cinco secretos por aplicación
- El 71% de las aplicaciones filtraron al menos un secreto
Estos secretos incluyen contraseñas, claves API y tokens de acceso. Los desarrolladores los colocan directamente dentro de las aplicaciones, donde cualquiera puede extraerlos. Según Aras Nazarovas, investigador de Cybernews, esto hace que el trabajo de los atacantes sea mucho más fácil de lo que la mayoría de los usuarios creen.
¿Qué son los secretos codificados en términos simples?
Un secreto codificado es información confidencial guardada directamente dentro de una aplicación en lugar de estar protegida en un servidor seguro. Piense en ello como escribir el PIN de su banco en el reverso de su tarjeta de débito. Una vez que alguien descarga la aplicación, puede inspeccionar sus archivos y extraer esos secretos. Los atacantes no necesitan acceso especial ni herramientas de piratería avanzadas. Tanto la Agencia de Seguridad de Infraestructura y Ciberseguridad como la Oficina Federal de Investigaciones advierten a los desarrolladores que no hagan esto. Sin embargo, está sucediendo a escala masiva.
Las fugas de almacenamiento en la nube expusieron enormes cantidades de datos
Uno de los problemas más graves tiene que ver con el almacenamiento en la nube. Más de 78.000 aplicaciones de iOS contenían enlaces directos a depósitos de almacenamiento en la nube. Estos depósitos almacenan archivos como fotografías, documentos, recibos y copias de seguridad. En algunos casos, no se requirió ninguna contraseña. Los investigadores encontraron:
- 836 depósitos de almacenamiento están completamente abiertos al público
- Más de 76 mil millones de archivos expuestos
- Más de 406 terabytes de datos filtrados
Estos datos incluían cargas de usuarios, detalles de registro, registros de aplicaciones y registros privados. Cualquiera que supiera dónde buscar podría verlo o descargarlo.
APPLE REPARA DOS DEFECTOS DE DÍA CERO UTILIZADOS EN ATAQUES DIRIGIDOS
Este gráfico muestra los tipos más comunes de secretos codificados que se encuentran dentro de las aplicaciones de iOS, y las claves relacionadas con Google aparecen con mayor frecuencia, según una investigación de Cybernews. (Cibernoticias)
Las bases de datos de Firebase también se dejaron abiertas.
Muchas aplicaciones de iOS dependen de Google Firebase para almacenar datos de usuario. Cybernews encontró más de 51.000 enlaces a bases de datos de Firebase ocultos en el código de la aplicación. Si bien algunos estaban protegidos, más de 2200 no tenían autenticación. Que expuso:
- Casi 20 millones de registros de usuarios
- Mensajes, perfiles y registros de actividad.
- Bases de datos que en su mayoría están alojadas en EE. UU.
Si una base de datos de Firebase no está bloqueada, los atacantes pueden explorar los datos del usuario como en un sitio net público.
Los sistemas de pago e inicio de sesión también estaban en riesgo
Algunos de los secretos filtrados eran mucho más peligrosos que los análisis o los anuncios. Los investigadores descubrieron claves secretas para:
- Stripe, que gestiona pagos y reembolsos
- Sistemas de autenticación JWT que controlan los inicios de sesión.
- Herramientas de gestión de pedidos utilizadas por las aplicaciones de compras
Una clave secreta de Stripe filtrada puede permitir a los atacantes emitir reembolsos, mover dinero o acceder a detalles de facturación. Las claves de inicio de sesión filtradas pueden permitir a los atacantes hacerse pasar por usuarios o apoderarse de cuentas.
La IA y las aplicaciones sociales se encuentran entre los peores infractores
Algunas de las apps con mayores filtraciones estaban relacionadas con la inteligencia synthetic. Según VX Underground, la empresa de seguridad CovertLabs identificó 198 aplicaciones de iOS que filtraban datos de los usuarios. El caso más conocido fue Chat & Ask AI de Codeway. Los investigadores dicen que expuso historiales de chat, números de teléfono y direcciones de correo electrónico vinculados a millones de usuarios. Otra aplicación, YPT – Research Group, supuestamente filtró mensajes, ID de usuario y tokens de acceso. CovertLabs rastrea estos incidentes en un repositorio restringido llamado Firehound. La lista completa de aplicaciones afectadas no se ha hecho pública y los investigadores dicen que los datos son limitados para evitar una mayor exposición y dar tiempo a los desarrolladores para corregir fallas de seguridad.
CUENTAS SECUESTRADORAS DE EXTENSIONES MALICIOSAS DE GOOGLE CHROME
Este ejemplo muestra cómo las claves confidenciales, como las credenciales de la API de Google y los secretos de pago de Stripe, se pueden almacenar directamente dentro de los archivos de una aplicación de iOS, donde son fáciles de extraer. (Cibernoticias)
Por qué la revisión de aplicaciones de Apple puede pasar por alto riesgos de seguridad ocultos
Apple revisa las aplicaciones antes de que aparezcan en la App Retailer. Sin embargo, el proceso de revisión no escanea el código de la aplicación en busca de secretos ocultos. Si una aplicación se comporta normalmente durante la prueba, puede pasar la revisión incluso si hay claves confidenciales ocultas dentro de sus archivos. Esto crea una brecha entre las afirmaciones de seguridad de Apple y los riesgos del mundo actual. Eliminar secretos filtrados no es sencillo para los desarrolladores. Deben revocar claves antiguas, crear otras nuevas y reconstruir partes de sus aplicaciones. Eso puede dañar funciones y retrasar las actualizaciones. Aunque Apple cube que la mayoría de las actualizaciones de las aplicaciones se revisan dentro de las 24 horas, algunas actualizaciones demoran semanas. Durante ese tiempo, las aplicaciones vulnerables pueden permanecer disponibles.
CyberGuy se puso en contacto con Apple para solicitar comentarios, pero no recibió respuesta antes de la publicación.
Maneras de mantenerse seguro ahora mismo
No se puede inspeccionar fácilmente una aplicación en busca de secretos ocultos. Apple no proporciona herramientas para eso. Aun así, puedes reducir el riesgo y limitar la exposición si eres selectivo y cauteloso. Estos pasos ayudan a reducir el riesgo si una aplicación filtra datos entre bastidores.
1) Cíñete a los desarrolladores de aplicaciones establecidos
Los desarrolladores conocidos tienden a tener equipos de seguridad más sólidos y mejores prácticas de actualización. Las aplicaciones más pequeñas o desconocidas pueden acelerar el lanzamiento de funciones al mercado y pasar por alto aspectos básicos de seguridad. Antes de descargar, verifique cuánto tiempo ha estado activo el desarrollador y con qué frecuencia se actualiza la aplicación.
2) Revisar y limitar los permisos de la aplicación.
Muchas aplicaciones solicitan más acceso del que necesitan. La ubicación, los contactos, las fotos y el acceso al micrófono aumentan el riesgo de fuga de datos. Vaya a la configuración de su iPhone y eliminar permisos que no son esenciales para que la aplicación funcione.
3) Elimina las aplicaciones que ya no usas
Las aplicaciones no utilizadas aún conservan el acceso a los datos que compartió en el pasado. También pueden almacenar información en servidores remotos mucho después de que dejes de abrirlos. Si no ha utilizado una aplicación en meses, elimínela. He aquí cómo: Abrir Ajustesgrifo Basicseleccionar Almacenamiento de iPhoney desplácese por la lista de aplicaciones para ver cuándo se utilizó cada una por última vez. Toca cualquier aplicación que ya no necesites y selecciona Eliminar aplicación para eliminarlo y reducir la exposición continua de datos.
4) Ten cuidado con los datos personales y financieros
Evite ingresar información confidencial a menos que sea absolutamente necesario. Esto incluye nombres completos, direcciones, detalles de pago y conversaciones privadas. Las aplicaciones de IA son especialmente riesgosas si compartes contenido profundamente private.
5) Utilice un administrador de contraseñas para cada cuenta
Un administrador de contraseñas crea contraseñas seguras y únicas para cada aplicación y servicio. Esto evita que los atacantes accedan a varias cuentas si una aplicación filtra datos. Nunca reutilice contraseñas vinculadas a su dirección de correo electrónico.
A continuación, compruebe si su correo electrónico ha estado expuesto en infracciones anteriores. Nuestra elección de administrador de contraseñas número uno incluye un escáner de infracciones integrado que verifica si su dirección de correo electrónico o sus contraseñas han aparecido en filtraciones conocidas. Si descubre una coincidencia, cambie inmediatamente las contraseñas reutilizadas y proteja esas cuentas con credenciales nuevas y únicas.
Consulte los mejores administradores de contraseñas revisados por expertos de 2026 en Cyberguy.com.
6) Cambiar contraseñas vinculadas a aplicaciones expuestas
Si una aplicación utiliza su dirección de correo electrónico para iniciar sesión, cambie esa contraseña inmediatamente. Haga esto incluso si no hay confirmación de un incumplimiento. Los atacantes suelen probar las credenciales filtradas en otros servicios.
7) Considere utilizar un servicio de eliminación de datos
Algunos datos filtrados terminan en intermediarios de datos que venden información private en línea. Un servicio de eliminación de datos puede ayudar a encontrar y eliminar sus datos de estas bases de datos. Esto scale back la posibilidad de que los datos expuestos de las aplicaciones se reutilicen para estafas o robo de identidad.
Si bien ningún servicio puede garantizar la eliminación completa de sus datos de Web, un servicio de eliminación de datos es realmente una opción inteligente. No son baratos, y su privacidad tampoco. Estos servicios hacen todo el trabajo por usted al monitorear activamente y borrar sistemáticamente su información private de cientos de sitios net. Es lo que me da tranquilidad y ha demostrado ser la forma más eficaz de borrar tus datos personales de Web. Al limitar la información disponible, se scale back el riesgo de que los estafadores crucen los datos de las filtraciones con información que puedan encontrar en la net oscura, lo que les dificulta atacarlo.
Consulte mis mejores opciones para servicios de eliminación de datos y obtenga un escaneo gratuito para descubrir si su información private ya está disponible en la net visitando Cyberguy.com.
Obtenga un escaneo gratuito para descubrir si su información private ya está disponible en la net: Cyberguy.com.
8) Controle sus cuentas en busca de actividad inusual
Esté atento a correos electrónicos inesperados, avisos de restablecimiento de contraseña, alertas de inicio de sesión o confirmaciones de pago. Estos pueden indicar que ya se está abusando de los datos filtrados. Actúe rápidamente si algo parece extraño.
9) Pausar el uso de aplicaciones de chat e inteligencia synthetic riesgosas
Si utiliza aplicaciones de inteligencia synthetic para conversaciones privadas, considere detenerlas hasta que el desarrollador confirme las correcciones de seguridad. Una vez que los datos están expuestos, no se pueden retirar. Evite compartir detalles confidenciales con aplicaciones que almacenan conversaciones de forma remota.
Las conclusiones clave de Kurt
La App Retailer de Apple todavía ofrece protecciones importantes, pero esta investigación muestra que no es infalible. Muchas aplicaciones confiables para iPhone exponen datos silenciosamente debido a errores básicos de seguridad. Hasta que mejoren las revisiones de aplicaciones, debes permanecer alerta y limitar la cantidad de datos que compartes.
¿Cuántas aplicaciones de tu iPhone tienen acceso a información que no querrías que se expusiera? Háganos saber escribiéndonos a Cyberguy.com.
HAGA CLIC AQUÍ PARA DESCARGAR LA APLICACIÓN FOX NEWS
Regístrese para recibir mi informe CyberGuy GRATIS
Reciba mis mejores consejos técnicos, alertas de seguridad urgentes y ofertas exclusivas directamente en su bandeja de entrada. Además, obtendrás acceso instantáneo a mi Guía definitiva para sobrevivir a estafas, free of charge si te unes a mi CYBERGUY.COM hoja informativa.
Copyright 2026 CyberGuy.com. Reservados todos los derechos.
