sistema: OPERATIVO
← volver a todos los hacks
DATA LEAK MEDIUM NEW

Dos tercios de las apps de IA para iOS filtran sus credenciales LLM en el tráfico

Un estudio de Wake Forest sobre 444 apps de IA para iOS halló 282 que exponen credenciales LLM utilizables — claves en texto plano, backends proxy abiertos y tokens reutilizables — legibles en el tráfico de red. Tres meses después del aviso, solo el 28 % lo había corregido.

2026-07-04 // 6 min affects: ios-apps, llm-integrated-mobile-apps, openai-api, google-gemini-api, llm-provider-keys

¿Qué es esto?

El 10 de junio de 2026 (revisado el 23 de junio), investigadores de la Universidad de Wake Forest publicaron Mind your key, el primer estudio empírico en profundidad sobre la filtración de credenciales de API LLM en aplicaciones iOS (arXiv:2606.12212). Construyeron un conjunto de 444 apps de chatbot de IA, filtradas a partir de 1092 candidatas de la App Store estadounidense, e inspeccionaron el tráfico de red de cada una con una herramienta propia llamada LLMKeyLens. El resultado: 282 de las 444 apps —casi dos tercios— exponen credenciales LLM utilizables que permiten a cualquiera enviar peticiones al modelo con la cuenta del desarrollador, que acaba pagando la factura.

Lo incómodo del hallazgo es lo poco que costó la extracción. LLMKeyLens no necesita el código fuente ni descifrar el binario; simplemente observa el tráfico que la app ya envía y extrae el secreto al pasar. Las credenciales abarcan al menos diez proveedores, con OpenAI a la cabeza, y trece categorías de aplicaciones.

Cómo funciona

Cuando una app móvil incrusta una clave de proveedor para llamar directamente a un servicio como OpenAI o Gemini, esa clave viaja con cada petición que la app realiza. Cualquiera que observe el tráfico —el propio usuario de la app, alguien en la misma red o un proxy— puede leerla. El estudio clasifica las 282 apps con fugas en tres patrones.

El más común, con un 48 % (136 apps), es la fuga de tokens reutilizables. Estas apps hacen lo teóricamente más seguro —repartir tokens de corta vida en vez de la clave en bruto—, pero los tokens se filtran en el mismo tráfico y solían seguir siendo válidos al capturarlos. Algunos no eran nada efímeros: una app popular fijaba la expiración de su token en el año 2125 —un pase de cien años— y el token «de una hora» de otra seguía funcionando 128 días después de su muerte supuesta.

El segundo patrón, 33 % (92 apps), es el backend proxy sin autenticación: la app enruta las peticiones a través de un servidor que responde a cualquiera, sin comprobar quién pregunta. Es un relé abierto hacia una cuenta de IA de pago, y no hay clave que robar porque no se requiere ninguna.

El tercero, 19 % (54 apps), es la transmisión de clave en texto plano: la clave del proveedor enviada al descubierto, legible en una sola petición capturada. En 28 de esas 54 apps, la misma petición revelaba además el prompt de sistema oculto, exponiendo las instrucciones internas del producto junto a su credencial de facturación.

Por qué importa

Una clave LLM filtrada no es un riesgo abstracto: es un riesgo medido por token. Las claves robadas alimentan la práctica que la industria llama LLMjacking, y Sysdig estimó un consumo en el peor caso de más de 46 000 $ diarios en cargos de modelo sobre una sola cuenta comprometida. Más allá de la factura, un proxy abierto o una clave expuesta entrega al atacante inferencia gratuita en un modelo de frontera, y un prompt de sistema filtrado puede revelar lógica propietaria y apuntar a otras vías de abuso.

Lo peor es la persistencia. Los investigadores avisaron a los 282 desarrolladores y esperaron tres meses; solo el 28 % había corregido claramente el problema, el 23 % seguía de par en par con el acceso filtrado aún funcionando, y el resto estaba fuera de línea o devolvía errores. Esto reproduce hallazgos anteriores en Android —el estudio LM-Scout de 2025 se coló automáticamente en 120 apps mediante el mismo tipo de cableado inseguro—, de modo que la fiebre de la IA no cambió el hábito, solo elevó su coste. Los autores subrayan que la cifra de los dos tercios es un suelo: muchas apps bloqueaban por completo la interceptación, y el estudio solo cubrió la App Store estadounidense a finales de 2025.

Defensas

El arreglo de fondo es un consejo viejo que demasiados equipos ignoran: la clave del proveedor nunca debe residir en el cliente.

  • Haga pasar cada llamada al modelo por su propio backend. La app habla con su servidor; su servidor guarda la clave del proveedor y habla con OpenAI, Gemini y los demás. La clave nunca se envía en el binario ni por el cable hacia el dispositivo.
  • Autentique al llamante en ese backend. Un relé que responde a cualquiera es un relé abierto. Vincule cada petición a una identidad de usuario o dispositivo autenticada y rechace el resto.
  • Emita tokens realmente efímeros y acotados. Imponga una expiración real en el servidor, ligue los tokens a un usuario y a un propósito, y rechace tokens expirados o reutilizados en vez de fiarse de un reloj proporcionado por el cliente.
  • Añada topes de gasto, cuotas por usuario y límites de tasa. Acotan el daño cuando una credencial se filtra y dan tiempo para responder.
  • Vigile las anomalías y revoque rápido. Una clave que de repente sirve a miles de dispositivos es una señal. Rote las claves ante la menor sospecha —y confirme que la antigua queda de verdad revocada, pues auditorías previas hallaron que los desarrolladores suelen dejar activas claves ya retiradas.

El estudio también sitúa responsabilidad aguas arriba: pide a los proveedores que etiqueten las claves del lado del cliente como inseguras en su documentación y que señalen claves usadas desde un número inverosímil de dispositivos, y pide a Apple que detecte este patrón durante la revisión de la App Store.

Estado

ElementoValor (Wake Forest, junio de 2026)
Apps analizadas444 (filtradas de 1092)
Apps que filtran credenciales utilizables282 (~64 %)
Fuga de tokens reutilizables48 % (136 apps)
Backend proxy sin autenticación33 % (92 apps)
Transmisión de clave en texto plano19 % (54 apps)
Apps en texto plano que también filtran el prompt de sistema28 de 54
Proveedores afectados≥ 10 (OpenAI el más común)
Corregido 3 meses tras el aviso28 %
Aún explotable en el re-test23 %
Herramienta de detecciónLLMKeyLens (interceptación de tráfico, sin descifrar el binario)

Fechas clave: 10 de junio de 2026 — primer envío del estudio. 23 de junio de 2026 — versión revisada. 30 de junio de 2026 — cobertura mediática. Salvedad de alcance: App Store estadounidense, finales de 2025; la tasa de dos tercios es una cota inferior.

Sources