Menú Cerrar
  • Portada
  • Filtración del código fuente de la nueva App Store: así ocurrió

Filtración del código fuente de la nueva App Store: así ocurrió

Roger Casadejús Pérez
Video preview

Ver el perfil de Roger en Linkedin Roger Casadejús Pérez
Full stack web developer y SEO + miembro del blueteam en ciberseguridad web


El descubrimiento de la filtración

Horas después de la presentación de la nueva interfaz web de la App Store, se produjo un incidente inesperado: la filtración del código fuente del front‑end. Este evento ocurrió debido a un descuido en la configuración de la versión publicada, lo que permitió que el código fuente circulara por Internet. A pesar de que el rediseño introdujo mejoras significativas, como páginas específicas por plataforma y un buscador más avanzado, el lanzamiento se vio empañado por este desliz técnico.

El proceso de filtración del código fuente

El papel de los sourcemaps en el desliz

En el desarrollo web, los sourcemaps son elementos cruciales que vinculan el código legible del proyecto con el paquete minificado que se entrega al usuario final. Sin embargo, en entornos públicos, estos mapas suelen desactivarse para proteger la propiedad intelectual y evitar facilitar la ingeniería inversa. En el caso de la nueva App Store, los sourcemaps quedaron habilitados en la build de producción, lo que permitió a un desarrollador, conocido como rxliuli, aprovechar esta situación para reconstruir los archivos originales.

La reconstrucción y distribución del código

Gracias a los sourcemaps activos, rxliuli utilizó una extensión de Chrome para descargar los recursos y reconstruir la base del cliente. El resultado fue una instantánea del front‑end, escrita con tecnologías modernas como Svelte y TypeScript. Esta instantánea incluía:

  • Código del cliente y estructuras de componentes
  • Lógica de gestión de estado utilizada por la interfaz
  • Elementos de UI y vistas reutilizables
  • Integraciones con APIs y configuración de enrutado

Posteriormente, rxliuli subió este material a un repositorio de GitHub, alegando que el propósito de compartirlo era educativo, aunque su disponibilidad podría ser temporal.

Impacto y alcance de la filtración

Ámbito limitado y consideraciones de seguridad

A pesar de la gravedad aparente del incidente, la exposición del código está limitada al front‑end, sin comprometer sistemas internos ni credenciales. No se trata de una brecha de datos y no expone información personal de usuarios, desarrolladores o empleados.

Relevancia para usuarios y la comunidad técnica

Para los usuarios de la App Store en España y el resto de Europa, la experiencia de uso no se ve alterada: la nueva web actúa como escaparate y, por el momento, no permite iniciar sesión ni realizar compras, ni acceder a datos de cuenta. Esto limita el impacto práctico en el día a día.

Sin embargo, el código filtrado puede ser de interés para la comunidad técnica, ya que ofrece una visión de los patrones de arquitectura, convenciones y decisiones de diseño utilizadas. Aunque este conocimiento no representa en sí mismo una amenaza de vulnerabilidades críticas.

Acciones y consecuencias previstas

Acciones de apple y retiro del repositorio

Es previsible que Apple actúe rápidamente para retirar el repositorio de GitHub, invocando su propiedad intelectual. También es probable que regeneren los paquetes sin los mapas de código para evitar futuras filtraciones.

Medidas de prevención futuras

Además, se anticipa una revisión detallada del proceso de despliegue para corregir y prevenir errores similares. Esto incluiría desactivar los sourcemaps en producción, revisar las flags del empaquetado y reforzar los controles de publicación para evitar que artefactos destinados a la depuración se filtren nuevamente.

Innovaciones en la nueva web de la app store

El rediseño de la App Store introduce significativas mejoras, como páginas dedicadas para iPadOS, iOS y macOS. También ofrece navegación por categorías y una búsqueda mejorada que facilita la exploración del catálogo. Estos cambios proporcionan una experiencia más ordenada para consultar fichas y contenidos editoriales desde el navegador.

Para los usuarios y profesionales en España y Europa, la nueva web supone una vía cómoda para revisar novedades y compartir enlaces, aunque la experiencia de navegación web sigue diferenciándose de la app nativa en funciones de cuenta y compra.

Este incidente resalta cómo un pequeño fallo de configuración puede llevar a la exposición del código de una interfaz pública. Los sourcemaps activos facilitaron la extracción del código, pero el impacto se limita al cliente. El material ya circula en GitHub, con posibilidades de retirada inminente y una lección clara sobre la higiene de despliegue.