Una importante filtración de datos que involucró a dos aplicaciones complementarias de inteligencia artificial, Chattee Chat y GiMe Chat, ha expuesto más de 43 millones de mensajes privados. El incidente, descubierto por el grupo de investigación de ciberseguridad Cybernews, también filtró más de 600.000 imágenes y vídeos, destacando las vulnerabilidades de seguridad presentes cuando los usuarios confían sus interacciones personales a plataformas de inteligencia artificial. El desarrollador detrás de las aplicaciones es la empresa Imagime Interactive Limited, con sede en Hong Kong.
El 28 de agosto de 2025, investigadores de Cybernews identificaron un servidor Kafka Broker expuesto públicamente operado por Imagime Interactive Limited. El servidor quedó sin ninguna protección de seguridad, lo que significa que no tenía requisitos de autenticación ni controles de acceso. Esta falta de seguridad permitía que cualquiera pudiera acceder a los datos que contenía. El servidor transmitía activamente conversaciones en tiempo real entre los usuarios y sus compañeros de IA. Los datos expuestos incluían no solo mensajes de texto sino también enlaces directos a fotos personales, videos e imágenes generadas por IA intercambiadas dentro de las aplicaciones. Los investigadores describieron parte del contenido expuesto como “prácticamente no seguro para el trabajo”, lo que indica la naturaleza íntima y sensible de la información filtrada.
La infracción afectó a un total de 400.000 usuarios en plataformas iOS y Android. Según la investigación, aproximadamente dos tercios de los datos expuestos procedían de usuarios de iOS, y el tercio restante procedía de usuarios de dispositivos Android. La mayoría de las personas afectadas por la filtración se encontraban en Estados Unidos.
Si bien los datos filtrados no incluían nombres completos ni direcciones de correo electrónico, sí contenían otros identificadores importantes, incluidas direcciones IP de usuarios e identificaciones únicas de dispositivos. Esta información se puede comparar con otras fuentes de datos para rastrear y potencialmente identificar a las personas. El análisis mostró que los usuarios enviaron un promedio de 107 mensajes cada uno a sus socios de IA. Esta actividad creó una huella digital sustancial para cada usuario, que contenía pensamientos e interacciones personales que podrían aprovecharse con fines maliciosos como robo de identidad, acoso selectivo o chantaje.
La investigación también sacó a la luz detalles financieros. Los registros de compras incluidos en los datos expuestos revelaron que algunos usuarios gastaron cantidades considerables de dinero en las aplicaciones, y el gasto individual alcanzó hasta $18,000 para interactuar con sus compañeros de IA. Se estima que el desarrollador había obtenido más de 1 millón de dólares en ingresos con estas aplicaciones antes de que se descubriera la violación de datos. En su política de privacidad, Imagime Interactive Limited afirmó que la seguridad del usuario era “de suma importancia”. Sin embargo, la ausencia total de medidas de autenticación en el servidor contradice directamente esta afirmación, revelando una falla crítica en la implementación de salvaguardias de seguridad básicas para los datos confidenciales del usuario.
Al descubrir la vulnerabilidad, Cybernews informó rápidamente del problema a Imagime Interactive Limited. El servidor no seguro finalmente fue desconectado a mediados de septiembre. Antes de su eliminación, el servidor figuraba en los motores de búsqueda públicos de IoT, que son plataformas que indexan los dispositivos conectados a Internet. Su presencia en estos motores de búsqueda hizo que fuera fácilmente detectable por los ciberdelincuentes que buscaban activamente sistemas vulnerables. No está claro si algún actor malintencionado accedió a los datos comprometidos antes de que se asegurara el servidor. El potencial de daño persiste, ya que las conversaciones e imágenes descargadas aún podrían usarse para facilitar estafas de sextorsión, ataques de phishing o causar un daño significativo a la reputación de los usuarios afectados.
En respuesta a la infracción, los expertos en ciberseguridad describieron varios consejos para que los usuarios protejan sus datos cuando utilicen aplicaciones de inteligencia artificial.
- Piensa antes de compartir: los usuarios deben evitar enviar contenido personal o confidencial a través de aplicaciones de chat de IA. Una vez que se comparten los datos, se pierde efectivamente el control sobre ellos.
- Utilice herramientas de inteligencia artificial de buena reputación: se recomienda elegir aplicaciones de desarrolladores con políticas de privacidad transparentes y un historial comprobado de sólidas medidas de seguridad.
- Elimine sus datos en línea: emplear un servicio de eliminación de datos puede ayudar a eliminar información personal de las bases de datos públicas. Si bien no es una solución completa, puede limitar la información disponible para los estafadores.
- Fortalezca su ciberseguridad con un software antivirus potente: la instalación de un software antivirus confiable proporciona una capa de defensa al bloquear estafas, detectar intrusiones y alertar a los usuarios sobre intentos de phishing.
- Proteja sus cuentas con un administrador de contraseñas y MFA: usar un administrador de contraseñas para contraseñas seguras y únicas y habilitar la autenticación multifactor (MFA) son pasos críticos para evitar el acceso no autorizado a la cuenta.
Esta filtración de datos sirve como recordatorio de que las aplicaciones de chat de IA almacenan grandes cantidades de datos altamente confidenciales. Cuando estos datos se ven comprometidos, pueden tener consecuencias graves, como chantaje, suplantación de identidad y vergüenza pública. El incidente subraya la necesidad de estándares de seguridad más estrictos y una mayor responsabilidad dentro de la creciente industria complementaria de la IA. Para los usuarios, desarrollar conciencia sobre cómo se manejan y protegen sus datos es un primer paso fundamental para evitar que la información personal quede expuesta en línea.
