Por Canuto Quittr, una popular aplicación que prometía ayudar a hombres a dejar la pornografía, habría dejado expuestos durante meses datos extremadamente sensibles de más de 600.000 usuarios, incluidos 100.000 menores de edad, mientras sus creadores negaban públicamente que existiera un problema de seguridad.
***
- Un investigador independiente accedió a datos de más de 600.000 usuarios de Quittr mediante una mala configuración en Google Firebase.
- Entre la información expuesta figuraban edades, frecuencia de masturbación, emociones asociadas al consumo de pornografía y confesiones íntimas.
- Según el reporte, los desarrolladores fueron alertados en septiembre de 2025, pero la falla no se corrigió hasta meses después.
La aplicación Quittr, conocida por prometer apoyo a hombres que buscan dejar la pornografía, quedó en el centro de una grave controversia tras revelarse que expuso datos íntimos de cientos de miles de usuarios. La información comprometida incluía detalles altamente sensibles, como edad, frecuencia con la que los usuarios se masturbaban y cómo se sentían al consumir pornografía.
El caso resulta especialmente delicado porque, según el reporte, entre los afectados había un número significativo de menores de edad. En total, un investigador independiente dijo haber podido acceder a información de más de 600.000 usuarios, de los cuales 100.000 se identificaron como menores.
La historia pone el foco sobre un problema recurrente en la economía digital: aplicaciones que monetizan necesidades emocionales o personales sin aplicar controles de seguridad acordes al nivel de sensibilidad de los datos que recolectan. En este caso, la brecha no solo abrió la puerta a una invasión de privacidad, sino también a posibles intentos de chantaje, una amenaza frecuente cuando se filtra información sexual o de salud conductual.
De acuerdo con la investigación publicada por Viral ‘Quittr’ Porn Addiction App Exposed the Masturbation Habits of Hundreds of Thousands of Users, la vulnerabilidad ya había sido detectada meses antes, pero los responsables de la app no habrían resuelto el problema pese a múltiples advertencias.
Una base de datos abierta y datos íntimos al alcance de terceros
El origen de la filtración fue una configuración incorrecta en Google Firebase, una plataforma ampliamente utilizada para desarrollar y operar aplicaciones móviles. Un investigador independiente revisó cientos de apps en Google Play Store y Apple App Store en busca de este fallo común, luego de que otro caso reciente mostrara el impacto que puede tener un error de este tipo.
Entre las docenas de aplicaciones con problemas similares apareció Quittr. Sin embargo, debido a la naturaleza extremadamente sensible de la información almacenada, el investigador evitó identificar públicamente a la app en un primer momento, para no exponer aún más a sus usuarios mientras la vulnerabilidad seguía activa.
La base de datos permitía acceder a información personal y conductual de usuarios que habían confiado en la plataforma para tratar un problema privado. Algunos de los datos incluían la edad, la frecuencia de masturbación y respuestas sobre la relación emocional del usuario con el consumo de pornografía.
La aplicación también incentivaba a los usuarios a escribir confesiones sobre sus hábitos. Una de las entradas citadas decía: “Simplemente no puedo hacer esto, honestamente no sé qué hacer más, soy un perdedor, necesito ayuda seria”. El nivel de exposición de este material elevaba el riesgo de humillación pública, manipulación o extorsión.
El hecho de que muchos perfiles correspondieran a menores de edad agrava todavía más el episodio. Cuando una aplicación recolecta este tipo de información, no solo enfrenta una exigencia técnica mayor en materia de seguridad, sino también una responsabilidad ética y legal mucho más estricta.
Alertas tempranas, promesas de arreglo y negaciones públicas
Según el investigador, Alex Slater fue contactado directamente el 10 de septiembre de 2025 con detalles sobre la vulnerabilidad. En mensajes de WhatsApp revisados por el medio que publicó la investigación, Slater reconoció la gravedad de la situación y asumió la responsabilidad inicial.
“Es completamente mi culpa, debería haber estado al tanto de esto, la forma en que extrajiste la base de datos fue súper creativa”, escribió Slater al investigador. Luego agregó: “Así que felicitaciones por eso, pero nuevamente, estos son datos serios y no es bueno en absoluto. ¡Trabajando para arreglarlo ahora mismo! Se solucionará en la siguiente hora”.
Sin embargo, la falla no fue corregida en ese momento. Meses después, cuando el periodista que investigaba el caso habló por teléfono con Slater en enero, el cofundador negó que existiera una exposición real de información sensible.
“No hay información sensible expuesta, eso simplemente no es cierto”, dijo Slater. También aseguró: “Estos usuarios no están en mi base de datos, así que, simplemente no le presto atención a este tipo. Solo creo que es un poco de risa […] después de verificar con mis ingenieros vi que esto nunca fue un problema”.
Cuando se le preguntó por qué antes había agradecido la divulgación responsable y prometido una solución inmediata, Slater dio por terminada la llamada. Posteriormente, el periodista creó una cuenta en la aplicación y el investigador pudo ver cómo ese nuevo perfil aparecía todavía en el Firebase mal configurado, confirmando que la exposición seguía activa.
Tras esa comprobación, se realizaron nuevas llamadas, mensajes y correos electrónicos a Slater y a direcciones asociadas a Quittr. Según el reporte, no hubo respuesta. Después de una semana de intentos y verificaciones, se optó por publicar la historia sin identificar a la app, con el fin de alertar sobre el problema sin aumentar el riesgo para los usuarios.
Una startup viral, millones en ingresos y fallas básicas de seguridad
Quittr es operada por Alex Slater y Connor McLaren, integrantes de la llamada App Mafia, un grupo de jóvenes desarrolladores que afirman haber ganado millones de dólares creando aplicaciones móviles. Su perfil público se fortaleció recientemente con un extenso reportaje en New York Magazine, donde se describió el estilo de vida lujoso que el éxito de Quittr les habría permitido.
Según Slater, la aplicación ha sido descargada más de 1,5 millones de veces y genera USD $500.000 al mes. Ese contraste entre crecimiento comercial y deficiencias elementales en seguridad es uno de los puntos más llamativos del caso. Una app con esa escala, y con datos tan delicados, habría requerido estándares de protección mucho más robustos.
McLaren dijo a New York Magazine: “Estábamos como, ¿Cómo podemos construir una aplicación para ganar dinero? Luego, al darme cuenta de lo grande que era el problema, es cuando se convirtió más en un proyecto de pasión, como, ¿Cómo podemos ayudar a los hombres a volverse hombres de nuevo?”. Esa frase ha cobrado un nuevo significado tras la revelación del incidente.
La tensión entre discurso de ayuda personal y lógica de monetización es un tema cada vez más presente en el ecosistema de aplicaciones. Plataformas enfocadas en salud mental, bienestar, productividad o hábitos personales suelen recolectar información especialmente íntima. Cuando fallan los controles, el daño reputacional para la empresa puede ser severo, pero el costo mayor suele recaer sobre el usuario.
En este caso, el problema no fue solo técnico. También se cuestiona la gestión posterior a la alerta. La combinación de reconocimiento inicial, falta de corrección oportuna y negación pública terminó amplificando el escándalo.
La corrección llegó solo después de una mayor atención pública
El investigador volvió a revisar la configuración de Quittr después de que se publicara el perfil de New York Magazine sobre sus fundadores. Fue entonces cuando comprobó que la base de datos mal configurada finalmente había sido asegurada.
Ese cambio permitió que el medio revelara el nombre de la aplicación sin aumentar el riesgo inmediato para sus usuarios. Hasta entonces, identificarla habría facilitado que actores maliciosos explotaran la vulnerabilidad para extraer datos con fines criminales.
El episodio deja varias lecciones para la industria tecnológica. La primera es que la recopilación de datos sensibles exige medidas de seguridad proporcionales y auditorías constantes. La segunda es que la divulgación responsable de fallas necesita canales efectivos y respuestas rápidas por parte de las empresas.
La tercera es quizá la más inquietante: en mercados impulsados por crecimiento viral, branding personal y métricas de monetización, la protección de la privacidad puede quedar relegada incluso cuando lo que está en juego son datos sexuales, emocionales y potencialmente explotables de cientos de miles de personas.
Para el público, el caso de Quittr también funciona como recordatorio de una realidad incómoda. Cada vez que una app promete transformar un aspecto íntimo de la vida, también puede estar pidiendo acceso a información que, si se filtra, resulta mucho más valiosa para extorsionadores que para el usuario mismo.
ADVERTENCIA: DiarioBitcoin ofrece contenido informativo y educativo sobre diversos temas, incluyendo criptomonedas, IA, tecnología y regulaciones. No brindamos asesoramiento financiero. Las inversiones en criptoactivos son de alto riesgo y pueden no ser adecuadas para todos. Investigue, consulte a un experto y verifique la legislación aplicable antes de invertir. Podría perder todo su capital.
Suscríbete a nuestro boletín
Artículos Relacionados
Bancos y Pagos
X Money se acerca a su lanzamiento, pero no hay señales de integración con Dogecoin
Empresas
Empleados de OpenAI y Google respaldan a Anthropic ante demanda contra el Pentágono
Empresas
Amazon convoca reunión urgente tras fallas vinculadas a cambios asistidos por IA
Empresas