Un equipo de investigadores de seguridad detectó que la aplicación Android «Video AI Art Generator & Maker» almacenaba contenido en un bucket de Google Cloud accesible públicamente, lo que permitió la consulta directa de millones de archivos multimedia. Según el informe, la colección contenía tanto material subido por usuarios como archivos creados por los modelos de inteligencia artificial, lo que convierte al incidente en un ejemplo llamativo de cómo una mala configuración en la nube puede derivar en una fuga masiva de datos.
La filtración incluyó más de 1,5 millones de imágenes de usuarios y más de 385.000 vídeos de origen humano, además de millones de artefactos generados por IA: alrededor de 2,87 millones de vídeos generados, 386.000 archivos de audio creados por IA y otros 2,87 millones de imágenes producidas automáticamente. En total, el bucket expuso 8,27 millones de archivos multimedia, de los cuales aproximadamente 2 millones eran contenidos privados subidos por usuarios.
Cómo se descubrió y quién está detrás
Los hallazgos provienen del grupo de seguridad Cybernews, que comunicó la existencia del bucket y los riesgos asociados. La app en cuestión fue desarrollada supuestamente por Codeway Dijital Hizmetler Anonim Sirketi, una empresa registrada en Turquía. Aunque la aplicación no aparecía en la tienda de Google Play bajo ese nombre en el momento del reporte, Codeway sí muestra otras aplicaciones en su perfil oficial; además, en su sitio se promociona una app diferente llamada «Chat & Ask AI» que también presentó problemas de seguridad en el backend.
Contexto y antecedentes de exposición en otras apps
Este caso no es aislado. En early February 2026 un investigador independiente reveló que la aplicación «Chat & Ask AI», descrita como muy popular en su categoría, había dejado expuestos cerca de 300 millones de mensajes asociados a 25 millones de usuarios debido a una configuración errónea en Google Firebase. Ambos incidentes ilustran un patrón: aplicaciones de IA y servicios rápidos al mercado a menudo priorizan el lanzamiento sobre las buenas prácticas de seguridad en la nube.
Por qué la configuración importa
Un bucket de Google Cloud mal configurado permite que cualquiera con la ruta adecuada pueda listar y descargar objetos. En términos simples, se trata de no haber habilitado las medidas de control de acceso adecuadas, como la autenticación obligatoria, roles con permisos mínimos o reglas de firewall. La ausencia de estas defensas facilita que actores maliciosos o curiosos accedan a datos sensibles sin necesidad de vulnerar la aplicación.
Respuesta de los desarrolladores y lecciones aprendidas
Tras la notificación de los investigadores, los responsables afirmaron haber asegurado la base de datos del servicio «Video AI Art Generator & Maker». Aun así, el episodio subraya la necesidad de procesos de revisión de seguridad previos al despliegue, auditorías regulares de configuraciones en la nube y la adopción de políticas de acceso que sigan el principio de least privilege. También es recomendable implementar registros de auditoría y sistemas de detección temprana que alerten sobre buckets con permisos públicos.
Implicaciones para usuarios y desarrolladores
Para los usuarios, la lección es limitar la subida de material sensible a servicios cuya política de privacidad y medidas técnicas sean transparentes y verificables. Para los equipos de desarrollo, la prioridad debe ser integrar controles de seguridad en el ciclo de vida del producto: revisión de permisos en Google Cloud, pruebas de exposición pública y uso de servicios gestionados con configuraciones seguras por defecto.
Mantener controles de acceso estrictos, realizar auditorías periódicas y responder rápidamente a las advertencias de la comunidad de seguridad son medidas clave para evitar que incidentes similares vuelvan a ocurrir.
