Una reciente auditoría de ciberseguridad ha revelado una falla crítica en la plataforma Video AI Art Generator & Maker, una herramienta para dispositivos Android que permitió que una enorme cantidad de datos personales de sus usuarios quedara disponible de forma pública. La filtración incluyó material sensible como fotografías, grabaciones de video y archivos de audio que habían sido procesados o creados mediante las funciones de inteligencia artificial de la aplicación.
Vulnerabilidad masiva en el almacenamiento de datos
El origen de este incidente se localizó en una configuración errónea de un contenedor de Google Cloud Storage. Según el reporte técnico, este sistema de almacenamiento en la nube, utilizado por la aplicación para gestionar el contenido de sus clientes, carecía de los protocolos de seguridad necesarios. Esta negligencia permitió que prácticamente cualquier persona pudiera visualizar y descargar el contenido sin requerir una contraseña o proceso de autenticación.
La magnitud del hallazgo es alarmante. Se estima que el volumen de información expuesta alcanza los 12 TB. Entre los archivos filtrados se encuentran:
- 1,57 millones de imágenes cargadas por los usuarios.
- 385.000 fragmentos de video originales.
- 2,87 millones de imágenes creadas por inteligencia artificial.
- 2,87 millones de clips de video generados mediante IA.
- 386.000 archivos de audio.
Este servicio digital había ganado una notable tracción en la tienda Google Play, donde acumulaba más de 500.000 descargas y contaba con una reputación positiva entre su comunidad de usuarios por su capacidad de transformar videos y autorretratos en piezas artísticas. No obstante, el fallo expone la fragilidad de la privacidad cuando los controles de seguridad no son rigurosos.
Antecedentes de inseguridad en la firma desarrolladora
La aplicación es operada por la organización Codeway Dijital Hizmetler Anonim Sirketi, con base en Turquía, y su filial Deep Flow Software Services Fzco, ubicada en Emiratos Árabes Unidos.
Este suceso no es un hecho aislado para el desarrollador. Previamente, otra de sus herramientas denominada Chat & Ask AI sufrió una exposición masiva de datos debido a una mala implementación de Google Firebase. En ese episodio, se vulneró la privacidad de 25 millones de usuarios, dejando al descubierto más de 300 millones de mensajes privados.
Estas brechas digitales no solo amenazan la intimidad de las personas, sino que sitúan a las empresas frente a severas implicaciones legales. Bajo normativas internacionales como el GDPR de la Unión Europea, las multas por este tipo de descuidos pueden ascender hasta los 20 millones de euros.
Reacción de la empresa y consejos de seguridad
Luego de que la investigación se hiciera pública y tras múltiples intentos de contacto por parte de especialistas, la compañía procedió a restringir el acceso al servidor en la nube. A pesar de esto, no se ha emitido una aclaración formal ni se han detallado las correcciones técnicas para evitar nuevos incidentes.
Profesionales en ciberseguridad advierten a los ciudadanos ecuatorianos y globales que una alta calificación en las tiendas de aplicaciones no es garantía de protección. Es vital realizar auditorías preventivas y ser cautelosos con el tipo de información que se comparte en plataformas de edición multimedia.
Alerta por malware en WinRAR durante 2025
El panorama de amenazas se extiende también a programas tradicionales. Durante el año 2025, el conocido compresor WinRAR se convirtió en el vehículo de un sofisticado esquema de phishing que aprovechó una vulnerabilidad de día cero.
De acuerdo con la firma ESET, los atacantes distribuyeron archivos maliciosos ocultos en supuestas solicitudes de empleo. El fallo permitía que, al descomprimir un archivo .RAR, se ejecutaran de manera invisible archivos DLL y LNK, logrando que el virus permaneciera activo incluso si el computador se reiniciaba.
Este ataque, que estuvo activo entre el 18 y el 21 de julio de 2025, utilizó técnicas avanzadas de path traversal y flujos de datos alternativos (ADS). Las ofensivas se centraron principalmente en corporaciones de Canadá y Europa, demostrando que incluso las herramientas más comunes pueden ser utilizadas para comprometer la seguridad informática a gran escala.
Fuente: Fuente