¿Por qué fue hackeado MyFitnessPal? Explicación de la brecha de 150 millones de cuentas
En 2018, MyFitnessPal sufrió una de las mayores brechas de datos en la historia. 150 millones de cuentas fueron comprometidas. Aquí te contamos exactamente qué sucedió, qué datos fueron expuestos, si la app es segura ahora y por qué la privacidad de los datos de salud es más importante que nunca.
En febrero de 2018, alguien logró infiltrarse en los sistemas de MyFitnessPal y robó los datos de cuenta de aproximadamente 150 millones de usuarios. Nombres de usuario, direcciones de correo electrónico y contraseñas encriptadas: todo comprometido. En ese momento, fue una de las diez mayores brechas de datos en la historia. La empresa no descubrió la brecha hasta marzo de 2018, lo que significa que los atacantes tuvieron acceso a los datos de los usuarios durante aproximadamente un mes antes de que alguien se diera cuenta.
Si usaste MyFitnessPal antes de marzo de 2018, es casi seguro que tus datos formaron parte de esta brecha. Y si todavía te preguntas por qué una app de seguimiento de calorías se convirtió en el objetivo de uno de los hackeos más grandes jamás registrados, la respuesta revela algunas verdades incómodas sobre cómo las aplicaciones de salud y fitness manejan tus datos.
Este artículo explica exactamente qué sucedió, qué datos fueron expuestos, cuáles no, si MyFitnessPal es seguro de usar hoy y por qué la privacidad de los datos de salud debería ser un factor decisivo al elegir qué app de nutrición confiar.
¿Qué sucedió en la brecha de datos de MyFitnessPal?
Aquí tienes la cronología de los eventos tal como se desarrollaron:
La Brecha: Febrero de 2018
A finales de febrero de 2018, una parte no autorizada accedió a los datos de cuentas de usuarios de MyFitnessPal. El método exacto de intrusión nunca se reveló completamente al público. Lo que se sabe es que el atacante pudo extraer un enorme conjunto de datos que contenía información de cuentas de aproximadamente 150 millones de usuarios.
En ese momento, MyFitnessPal era propiedad de Under Armour, que había adquirido la app en 2015 por 475 millones de dólares. Under Armour era responsable de la seguridad de la infraestructura de MyFitnessPal.
Descubrimiento: 25 de marzo de 2018
El equipo de seguridad de MyFitnessPal identificó la brecha el 25 de marzo de 2018, aproximadamente cuatro semanas después de que ocurrió la intrusión. Un intervalo de cuatro semanas entre la brecha y la detección no es inusual para brechas de datos de este tamaño, pero significa que el atacante tuvo semanas de acceso no detectado a los datos de los usuarios.
Divulgación Pública: 29 de marzo de 2018
Under Armour divulgó públicamente la brecha el 29 de marzo de 2018, solo cuatro días después de descubrirla. La empresa notificó a los usuarios afectados a través de correos electrónicos y mensajes dentro de la app, exigiendo restablecimientos de contraseña para todas las cuentas.
Las Consecuencias
Las acciones de Under Armour cayeron aproximadamente un 3.8% en los días siguientes a la divulgación. La brecha contribuyó a las crecientes preocupaciones sobre la estrategia digital de fitness de Under Armour y los costos de mantener una enorme base de datos de usuarios. Dos años después, Under Armour vendería MyFitnessPal a Francisco Partners por 345 millones de dólares, 130 millones menos que el precio de compra original.
¿Qué datos fueron expuestos en el hackeo de MyFitnessPal?
Entender exactamente qué fue comprometido —y qué no— es importante para evaluar el riesgo.
Datos que fueron comprometidos
- Nombres de usuario. Los nombres de cuenta utilizados para iniciar sesión en MyFitnessPal.
- Direcciones de correo electrónico. Las direcciones de correo asociadas a cada cuenta.
- Contraseñas encriptadas. Las contraseñas no se almacenaron en texto plano. Fueron encriptadas usando bcrypt, un algoritmo de hashing fuerte. Sin embargo, algunas contraseñas fueron encriptadas con SHA-1, un algoritmo más débil que es más vulnerable a ataques.
Datos que no fueron comprometidos (según Under Armour)
- Información de pago. Under Armour declaró que los datos de tarjetas de pago no se vieron afectados porque fueron recolectados y procesados por separado.
- Identificadores emitidos por el gobierno. Números de Seguro Social, números de licencia de conducir y otros identificadores similares no fueron almacenados por MyFitnessPal y, por lo tanto, no fueron expuestos.
- Datos de salud detallados. Under Armour afirmó que la brecha involucró credenciales de cuenta, no los datos del diario de alimentos, registros de peso o información nutricional almacenada en la app.
Por qué esto importa, incluso si "solo" se expusieron correos y contraseñas
Es tentador desestimar la brecha como "solo" nombres de usuario y contraseñas. Pero el impacto real de esta exposición de datos es significativo:
- Ataques de relleno de credenciales. Muchas personas reutilizan contraseñas en múltiples servicios. Los atacantes que lograron descifrar las contraseñas encriptadas podrían usarlas para acceder a otras cuentas —correo electrónico, banca, redes sociales, compras— donde se utilizó la misma combinación de correo y contraseña.
- Campañas de phishing. Con 150 millones de direcciones de correo electrónico confirmadas asociadas a una app de salud y fitness, los atacantes tenían una lista específica para correos de phishing relacionados con salud, fitness, suplementos y dietas. Estos correos podrían ser muy convincentes porque el atacante sabía que el destinatario usaba una app de seguimiento de calorías.
- Datos vendidos en la dark web. Los datos robados de MyFitnessPal aparecieron en mercados de la dark web. En 2019, una colección de bases de datos comprometidas que incluía datos de MyFitnessPal se ofreció a la venta por aproximadamente 20,000 dólares en criptomonedas.
¿Por qué fue MyFitnessPal un objetivo?
Una app de seguimiento de calorías podría parecer un objetivo inusual para los hackers en comparación con bancos o minoristas. Pero hay razones específicas por las que MyFitnessPal era atractiva para los atacantes.
La Escala de la Base de Usuarios
Con más de 150 millones de cuentas en ese momento, MyFitnessPal tenía una de las bases de usuarios más grandes de cualquier app de consumo. Para los atacantes enfocados en el robo de credenciales, el volumen de combinaciones de correos y contraseñas la convertía en un objetivo de alto valor, independientemente de lo que hiciera la app.
Los Datos de Salud Tienen un Valor Único
Los datos de salud y fitness son cada vez más valiosos en la economía de datos. La información sobre lo que las personas comen, cuánto pesan, sus metas de fitness y sus patrones dietéticos puede ser utilizada para publicidad dirigida, perfiles de seguros y ingeniería social. Aunque Under Armour afirmó que los datos del diario de alimentos no fueron comprometidos en la brecha de 2018, la mera existencia de un enorme repositorio de datos de salud convierte a la plataforma en un objetivo.
La Seguridad No Era la Prioridad
Under Armour era una empresa de ropa deportiva, no una compañía de tecnología o seguridad. Cuando adquirió MyFitnessPal en 2015, el enfoque estaba en aumentar la base de usuarios e integrar la app en el ecosistema de fitness de Under Armour. La inversión en infraestructura de seguridad no era la prioridad principal.
El uso de hashing SHA-1 para algunas contraseñas es un detalle revelador. SHA-1 había sido considerado criptográficamente débil durante años antes de la brecha de 2018. Las mejores prácticas recomendaban bcrypt o algoritmos de hashing fuertes similares. El hecho de que algunas contraseñas de MyFitnessPal aún estuvieran encriptadas con SHA-1 sugiere que las actualizaciones de seguridad no estaban siendo priorizadas.
¿Ha mejorado la seguridad de MyFitnessPal desde la brecha?
Esta es la pregunta que los usuarios actuales y potenciales necesitan que se responda. La respuesta corta: MyFitnessPal ha realizado mejoras, pero la historia de propiedad de la app y su modelo de negocio plantean preguntas continuas.
Qué Cambió Después de la Brecha
Tras la brecha de 2018, MyFitnessPal implementó varias mejoras de seguridad:
- Restablecimientos de contraseña obligatorios para todas las cuentas afectadas.
- Monitoreo mejorado para accesos no autorizados.
- Migración a algoritmos de hashing más fuertes para contraseñas.
- Autenticación de dos factores que eventualmente se añadió como opción.
Qué No Ha Cambiado
A pesar de estas mejoras, persisten varias preocupaciones estructurales:
- Sin encriptación de extremo a extremo para datos de salud. MyFitnessPal almacena datos del diario de alimentos, registros de peso e información nutricional en sus servidores. Estos datos no están encriptados de extremo a extremo, lo que significa que la empresa (y cualquier atacante que obtenga acceso al servidor) puede leerlos.
- Un nuevo propietario con prioridades diferentes. Francisco Partners, la firma de capital privado que adquirió MyFitnessPal en 2020, se centra en la generación de ingresos. La inversión en seguridad compite con otras prioridades en este modelo.
- Recolección de datos impulsada por la publicidad. La versión gratuita de MyFitnessPal se sostiene con publicidad. Las apps respaldadas por publicidad inherentemente recolectan más datos de los usuarios para servir anuncios dirigidos. Una mayor recolección de datos significa una superficie de ataque más grande y más datos en riesgo en una posible brecha.
- Sin auditorías de seguridad públicas. MyFitnessPal no publica los resultados de auditorías de seguridad independientes. Los usuarios deben confiar en las afirmaciones de la empresa sobre las mejoras de seguridad sin verificación de terceros.
¿Por qué importa la privacidad de los datos de salud?
Si registras lo que comes, cuánto pesas, tus medidas corporales, tus metas de fitness y tus patrones dietéticos en una app, estás creando un perfil de salud detallado. Estos datos son más sensibles de lo que muchas personas se dan cuenta.
Los Datos de Salud Son Únicamente Personales
Tu diario de alimentos revela mucho más que conteos de calorías. Revela condiciones médicas (seguimiento de alimentos para el manejo de la diabetes o enfermedades renales), patrones de salud mental (comer en exceso, restricción, comer emocionalmente), estado reproductivo (cambios dietéticos relacionados con el embarazo), prácticas religiosas (patrones de ayuno), información socioeconómica (las elecciones alimenticias reflejan el nivel de ingresos) y más.
Estos no son datos que quieras que se expongan en una brecha, se vendan a corredores de datos o se utilicen para perfiles de seguros.
La Privacidad de los Datos de Salud Es una Preocupación Legal Creciente
Las regulaciones sobre la privacidad de los datos de salud se están endureciendo a nivel mundial. El GDPR de la UE proporciona fuertes protecciones para los datos relacionados con la salud. En Estados Unidos, HIPAA protege los registros médicos, pero no cubre los datos ingresados voluntariamente en apps de consumo como MyFitnessPal. Esto crea una brecha donde la información de salud altamente sensible tiene menos protecciones legales que tu historial médico.
El Modelo de Negocio Importa
Cómo una empresa genera ingresos afecta directamente cómo maneja tus datos. Las apps que dependen de ingresos publicitarios tienen un incentivo financiero para recolectar la mayor cantidad de datos de usuarios posible y compartirlos con socios publicitarios. Las apps que dependen de suscripciones tienen un incentivo financiero para proteger los datos de los usuarios porque sus ingresos provienen de la confianza del usuario, no de la monetización de datos.
Esta distinción es crítica al elegir una app de salud.
Cómo Evaluar la Seguridad de Datos de una App de Nutrición
Si la brecha de MyFitnessPal te hizo pensar dos veces sobre dónde almacenas tus datos de salud, aquí tienes qué buscar al evaluar alternativas:
Preguntas Clave sobre Seguridad y Privacidad
| Factor | Qué Buscar | Señal de Alerta |
|---|---|---|
| Modelo de negocio | Basado en suscripción, sin anuncios | Versión gratuita con soporte publicitario y compartición de datos |
| Encriptación de datos | Encriptación de extremo a extremo para datos de salud | Sin encriptación o solo en el servidor |
| Política de privacidad | Clara, específica y fácil de leer | Lenguaje vago sobre "socios" y "terceros" |
| Eliminación de datos | Fácil de eliminar todos tus datos de forma permanente | Sin un proceso claro de eliminación |
| Compartición con terceros | Compartición mínima o nula de datos con terceros | Datos compartidos con anunciantes o corredores |
| Auditorías de seguridad | Auditorías de seguridad independientes regulares | Sin información pública sobre auditorías |
| Historial de brechas | Registro limpio o transparente sobre incidentes pasados | Historial de brechas con mala divulgación |
| Ubicación de datos | Servidores en jurisdicciones con leyes de privacidad fuertes | Sin información sobre la ubicación de los datos |
Cómo Nutrola Aborda la Privacidad de Datos
Nutrola se basa en un modelo de suscripción que comienza en €2.50 al mes, sin anuncios en ningún nivel de precios. Esta es una diferencia fundamental respecto a las apps respaldadas por publicidad como la versión gratuita de MyFitnessPal. Cuando no hay anuncios, no hay incentivo para recolectar datos de usuarios con fines publicitarios. Tu diario de alimentos, registros de peso y datos nutricionales existen para servirte, no para perfilarte para anunciantes.
Nutrola no vende datos de usuarios a terceros. Los ingresos de la app provienen completamente de suscripciones, lo que significa que el modelo de negocio está alineado con la privacidad del usuario en lugar de estar en contra de ella. Cuando una empresa gana dinero manteniendo a los usuarios felices y confiados, tiene todas las razones para proteger sus datos. Cuando una empresa gana dinero monetizando datos de usuarios a través de publicidad, los incentivos apuntan en la dirección opuesta.
Comparativa: MyFitnessPal vs Nutrola en Privacidad y Características
| Factor | MyFitnessPal | Nutrola |
|---|---|---|
| Historial de brechas de datos importantes | Sí (150M cuentas, 2018) | No |
| Versión gratuita con soporte publicitario | Sí (anuncios pesados) | No (sin anuncios en todos los niveles) |
| Modelo de ingresos | Suscripciones + publicidad | Solo suscripciones |
| Precio | Gratis (limitado) / $79.99 al año | Desde €2.50 al mes |
| Nutrientes rastreados | ~6 de manera confiable | 100+ |
| Base de datos de alimentos | 14M+ entradas de crowdsourcing | 1.8M+ entradas verificadas |
| Registro fotográfico con IA | No | Sí |
| Registro por voz | No | Sí |
| Escaneo de códigos de barras | Solo premium | Sí (todos los usuarios) |
| Apple Watch + Wear OS | Solo Apple Watch básico | Ambos soportados |
| Importación de recetas | Sí | Sí (con desglose nutricional completo) |
| Idiomas soportados | 20+ | 9 |
¿Qué deberías hacer si tus datos estaban en la brecha de MyFitnessPal?
Si tenías una cuenta de MyFitnessPal antes de marzo de 2018, es probable que tus datos hayan sido comprometidos. Aquí tienes qué hacer si no lo has hecho ya:
- Cambia tu contraseña de MyFitnessPal si no lo has hecho desde la brecha. Usa una contraseña fuerte y única.
- Cambia las contraseñas en cualquier otro servicio donde hayas utilizado la misma combinación de correo y contraseña que en tu cuenta de MyFitnessPal. Este es el paso más importante para prevenir ataques de relleno de credenciales.
- Habilita la autenticación de dos factores en MyFitnessPal y en todos los demás servicios que lo soporten.
- Usa un gestor de contraseñas para generar y almacenar contraseñas únicas para cada servicio. Esto asegura que una brecha en un servicio no comprometa tus otras cuentas.
- Verifica en haveibeenpwned.com si tu dirección de correo electrónico apareció en la brecha de MyFitnessPal o en cualquier otra brecha de datos conocida.
- Sé escéptico con correos electrónicos no solicitados relacionados con fitness, dietas, suplementos o apps de salud. Tu dirección de correo está en manos de atacantes que saben que estás interesado en el seguimiento de nutrición.
Preguntas Frecuentes
¿Cuándo fue hackeado MyFitnessPal?
MyFitnessPal fue hackeado en febrero de 2018. La brecha fue descubierta el 25 de marzo de 2018 y divulgada públicamente el 29 de marzo de 2018. Aproximadamente 150 millones de cuentas de usuario fueron comprometidas, convirtiéndola en una de las mayores brechas de datos en la historia en ese momento. MyFitnessPal era propiedad de Under Armour durante la brecha.
¿Qué datos fueron robados en el hackeo de MyFitnessPal?
La brecha expuso nombres de usuario, direcciones de correo electrónico y contraseñas encriptadas de aproximadamente 150 millones de cuentas. Algunas contraseñas fueron encriptadas con bcrypt (un algoritmo fuerte) mientras que otras usaron SHA-1 (un algoritmo más débil). Under Armour declaró que la información de pago y los datos de salud detallados (diarios de alimentos, registros de peso) no fueron comprometidos.
¿Es seguro usar MyFitnessPal en 2026?
MyFitnessPal implementó mejoras de seguridad después de la brecha de 2018, incluyendo un hashing de contraseñas más fuerte y autenticación de dos factores opcional. Sin embargo, la app ahora es propiedad de una firma de capital privado, depende de ingresos publicitarios de la versión gratuita (lo que incentiva la recolección de datos) y no publica resultados de auditorías de seguridad independientes. Si lo consideras "seguro" depende de tu tolerancia al riesgo personal y cuán sensible consideras tus datos de nutrición.
¿Ha sido hackeado MyFitnessPal más de una vez?
La brecha de 2018 es la única brecha de datos importantes confirmada públicamente que afecta a MyFitnessPal. Sin embargo, los datos comprometidos de la brecha de 2018 fueron posteriormente vendidos en mercados de la dark web y aparecieron en colecciones de volcado de credenciales que circularon durante años después del incidente original.
¿Cómo sé si mis datos de MyFitnessPal estaban en la brecha?
Si tenías una cuenta de MyFitnessPal antes de marzo de 2018, es casi seguro que tus datos se vieron afectados; la brecha comprometió aproximadamente 150 millones de las aproximadamente 150 millones de cuentas que existían en ese momento. Puedes verificar en haveibeenpwned.com para confirmar si tu dirección de correo electrónico apareció en la brecha. MyFitnessPal también envió notificaciones por correo electrónico a los usuarios afectados y exigió restablecimientos de contraseña.
¿Cuál es el rastreador de calorías más privado y seguro?
Busca apps con modelos de negocio basados en suscripción y sin publicidad, ya que estas tienen menos incentivos para recolectar y monetizar datos de usuarios. Nutrola opera con un modelo de suscripción que comienza en €2.50 al mes, sin anuncios en ningún nivel, lo que significa que no hay recolección de datos impulsada por publicidad. La app no vende datos de usuarios a terceros. Más allá de la privacidad, Nutrola ofrece registro de alimentos impulsado por IA (foto, voz, código de barras), rastrea más de 100 nutrientes de una base de datos verificada de 1.8 millones de alimentos y soporta Apple Watch, Wear OS y nueve idiomas.
¿Listo para transformar tu seguimiento nutricional?
¡Únete a miles que han transformado su viaje de salud con Nutrola!
