Neon fue descargada 75.000 veces en un día y escaló al top-5 de apps gratis; TechCrunch halló que cualquier usuario podía acceder a números, audios y transcripciones de terceros, y el fundador, Alex Kiam, decidió desconectar los servidores.
La promesa de Neon —pagar a usuarios por grabar llamadas para alimentar modelos de IA— se convirtió en un riesgo de privacidad masivo en cuestión de días. La aplicación, que según Appfigures registró 75.000 descargas en un solo día y miles de usuarios activos, quedó fuera de línea luego de que TechCrunch descubriera que su backend exponía números de teléfono, grabaciones y transcripciones a cualquiera que supiera dónde buscar.
TechCrunch documentó el hallazgo tras crear una cuenta de prueba y analizar el tráfico de red de la app con Burp Suite. Ese análisis reveló respuestas JSON que incluían la transcripción de llamadas —por ejemplo, “Uh, it worked. Hooray. Okay. Thanks, mate.”— (transcripción encontrada por TechCrunch) y enlaces web públicos a archivos de audio.
Además, el servidor podía devolver metadatos de las llamadas: el número del usuario, el número del contacto, la fecha, la duración y cuánto dinero había ganado cada llamada para el usuario.
La raíz técnica fue que los servidores de Neon no bloqueaban a usuarios autenticados de consultar registros que pertenecían a otros. En la práctica, eso significó que cualquiera con el link adecuado podía acceder a audios y textos de conversaciones de terceros. TechCrunch además observó indicios de que algunos usuarios hacían llamadas largas con la app para monetizar conversaciones del mundo real.
Tras la notificación de TechCrunch, Alex Kiam envió un correo a los usuarios informando que “la privacidad de sus datos es nuestra prioridad número uno… Por eso, estamos retirando temporalmente la app para añadir capas adicionales de seguridad”.
No obstante, TechCrunch subraya que ese mensaje no mencionó explícitamente que existió una filtración que permitió acceder a datos de otros usuarios.
Quedan preguntas críticas sin respuesta: Kiam no confirmó si Neon pasó auditorías de seguridad antes del lanzamiento, ni si tiene logs que prueben si terceros descubrieron o extrajeron datos antes de la desconexión.
Tampoco respondieron, al cierre de la nota, los fondos Upfront Ventures y Xfund que el fundador cita en LinkedIn, y Apple y Google no se pronunciaron sobre el cumplimiento de la app con las políticas de sus tiendas.
Para empresas y ejecutivos que contratan servicios y proveedores de datos, el caso Neon es una advertencia directa: verificar controles de acceso, exigir auditorías de seguridad, asegurar cifrado y logs de auditoría, y revisar los usos previstos de datos usados para entrenar modelos de IA.
Además, el incidente reabre el debate sobre la responsabilidad ética de las apps que monetizan datos personales y sobre cómo los marketplaces deben reforzar sus procesos de revisión antes de permitir que productos con potencial de riesgo lleguen a millones de usuarios.
Neon prometía convertir llamadas en ingresos; por ahora, el balance es otro: la privacidad de miles de usuarios comprometida, preguntas sin responder y una app desconectada mientras busca «capas adicionales de seguridad».