Granola, una aplicación basada en Electron para Mac, especializada en funciones avanzadas de inteligencia artificial, enfrentó recientemente una vulnerabilidad que permitió la divulgación de información sensible a través de uno de sus endpoints API. Esta debilidad de seguridad ha llamado la atención en la comunidad tecnológica y de ciberseguridad, debido a las implicaciones que tiene para la privacidad de los usuarios, especialmente en la gestión y almacenamiento de datos de audio transcritos. La aplicación Granola funciona empaquetando su código y recursos utilizando un formato conocido como asar, que permite agrupar distintos archivos JavaScript y otros recursos en un solo paquete compacto para su ejecución en entornos electron. A pesar de ser eficiente para la distribución, este método no es infalible y puede ser descompilado para analizar el código fuente. En el caso de Granola, investigadores pudieron extraer los archivos _app.
asar/dist-app/assets/index-DBfOBT0v.js y _app.asar/dist-electron/main/index.js, donde localizaron una lista explícita de endpoints API. Entre estos endpoints, aquella ruta identificada como “get-feature-flags” resultó ser problemática, ya que a través de esta se podía obtener información sin necesidad de autenticación.
Más preocupante aún fue la revelación de un valor llamado “assembly_key”. Esta clave es fundamental dado que está vinculada a AssemblyAI, un proveedor de servicios de transcripción de audio basado en inteligencia artificial. AssemblyAI se utiliza para transformar grabaciones de audio en texto, y mediante esta clave, potencialmente cualquiera podía acceder a las transcripciones almacenadas en dicho backend. El acceso a la información expuesta no se limitaba únicamente a los textos de las transcripciones. En el contenido de estas también se encontraban enlaces hacia las grabaciones originales.
Sin embargo, estas últimas no parecían estar disponibles directamente para su descarga o reproducción, limitando la explotación del hallazgo solo a la información textual. Sin embargo, esta brecha de seguridad abría un peligro considerable para la privacidad de los usuarios, especialmente cuando se consideraba que algunas de las grabaciones podían contener información personal o corporativa delicada. El descubrimiento fue detalladamente documentado en un informe de seguridad por parte de Tenable, que resalta no solo la existencia de la vulnerabilidad, sino también la naturaleza de la exposición. Las credenciales y datos sensibles que se encontraban disponibles sin autenticación representan un riesgo serio en el contexto actual, en el que la protección de la información y el cumplimiento de normativas sobre privacidad son prioritarios para empresas y consumidores. Un examen profundo del proceso de explotación mostró que era posible realizar peticiones HTTP POST al endpoint “get-feature-flags” para recuperar el assembly_key.
Posteriormente, utilizando esta clave como token de autenticación en las peticiones a AssemblyAI, se podían listar los IDs de las transcripciones disponibles y acceder al detalle de cada una. Con herramientas comunes de línea de comandos, como curl y jq, los investigadores elaboraron un proof of concept sencillo pero efectivo, demostrando lo reproducible y accesible que era la vulnerabilidad para actores malintencionados. Tras el reporte inicial al equipo de Granola, la respuesta llegó en marzo de 2025, con indicios claros de que la empresa tomó medidas inmediatas para remediar la situación. La clave API fue deshabilitada y removida de la respuesta del endpoint vulnerable, minimizando el riesgo de explotación continuada. Granola también aclaró posteriormente que la exposición estuvo focalizada principalmente en unos 300 usuarios en fase alfa que estaban probando una nueva aplicación para iOS, lo que redujo en cierta medida la superficie afectada.
Este incidente recuerda la importancia de aplicar estrictas políticas de autenticación y autorización en todos los endpoints expuestos públicamente, particularmente cuando se gestionan claves de integraciones de terceros y datos sensibles. A nivel técnico, la mejor práctica sería nunca retornar claves API o credenciales desde APIs públicas sin protección, y asegurar que cada componente del sistema cumple con los estándares de seguridad vigentes. La vulnerabilidad además subraya el riesgo inherente a la integración y dependencia de servicios en la nube externos para funciones críticas como la transcripción automática. Cuando las claves y tokens de acceso quedan expuestas, pueden conllevar una escalada de riesgos mucho más extensa, puesto que permiten pivotar ataques hacia otros recursos alojados en plataformas externas. Para los desarrolladores y responsables de productos, este caso ofrece una valiosa lección: la revisión rigurosa y continua del código, incluso aquel empaquetado internamente o aparentemente inaccesible, debe ser parte de la rutina de auditorías.
La utilización de escáneres de seguridad, tanto automatizados como manuales, puede prevenir que vulnerabilidades como esta lleguen a producción y afecten a los usuarios finales. Desde la perspectiva del usuario final, este tipo de incidentes reiteran la necesidad de ser conscientes de las aplicaciones que se instalan y su manejo de los datos personales, sobre todo cuando se trata de aplicaciones que graban o procesan audio. Incluso en ambientes controlados, como programas alfa o prueba, la exposición de datos tiene consecuencias reales y puede vulnerar derechos fundamentales sobre la privacidad. La divulgación responsable, como la realizada por Tenable en coordinación con Granola, es un paso clave para fortalecer la seguridad de productos modernos. La transparencia y la rápida corrección son aspectos valorados que ayudan a reestablecer la confianza del mercado y minimizar daños reputacionales.
Finalmente, como la tecnología de inteligencia artificial continúa ganando terreno en la vida cotidiana, los desafíos en seguridad evolucionan de forma paralela. Granola y otros desarrolladores de aplicaciones AI deben prestar especial atención a estos aspectos cruciales para garantizar que sus soluciones sean confiables, seguras y respetuosas con la privacidad del usuario. Implementar estrategias proactivas de seguridad, capacitar equipos en mejores prácticas y colaborar abiertamente con la comunidad de seguridad será determinante para navegar con éxito el futuro de las aplicaciones inteligentes.
