En la última semana de septiembre de 2025, la aplicación Neon escaló hasta el segundo puesto del ranking general de Apple App Store en Estados Unidos gracias a un modelo de negocio llamativo: pagar a los usuarios por grabar llamadas telefónicas y comercializar esos datos con compañías de inteligencia artificial. El ascenso terminó abruptamente cuando se reveló una vulnerabilidad crítica que permitía a terceros acceder a números de teléfono, audios y transcripciones ajenas. Tras publicarse los hallazgos, el servicio fue desconectado temporalmente.
Neon: negocio basado en grabación de llamadas y crecimiento acelerado
Según Neon Mobile, los usuarios cobraban 0,30 dólares por minuto en llamadas entre abonados Neon y hasta 30 dólares diarios en conversaciones con otros interlocutores, complementado con un programa de referidos. La empresa vendía las grabaciones y sus transcripciones a organizaciones de IA para entrenar y validar modelos. Datos de Appfigures indican que el 24 de septiembre de 2025 se registraron más de 75 000 descargas, colocándola en el top‑5 de «Redes sociales» del App Store en EE. UU.
Fallo crítico de control de acceso: qué halló TechCrunch
Durante pruebas de caja negra, TechCrunch creó una cuenta nueva, verificó el teléfono y utilizó Burp Suite para inspeccionar el tráfico de la app. El análisis evidenció ausencia de verificación de permisos a nivel de objeto en el backend: un usuario autenticado podía solicitar recursos de otras cuentas sin comprobación de propiedad (un patrón clásico de IDOR, Insecure Direct Object Reference).
Clasificación técnica y riesgos de privacidad
El problema encaja en Broken Access Control / IDOR, categoría que OWASP sitúa como la amenaza número uno en su Top 10 (ed
