Un desarrollador le hizo ingeniería inversa a la app oficial de la Casa Blanca — y lo que encontró no tiene nada de técnico: tiene que ver con privacidad, confianza pública y los estándares mínimos que cualquier aplicación gubernamental debería cumplir.
La app, lanzada esta semana en App Store y Google Play bajo el nombre “The White House”, fue construida con React Native y Expo SDK 54 por una entidad llamada forty-five-press. En horas, el desarrollador thereallo.dev publicó un análisis detallado del APK — y lo que reveló va bastante más allá de la curiosidad técnica.
¿Qué encontró el análisis?
Cuatro hallazgos definen el perfil de la app:
Aprende IA con nosotros
Únete gratis a mi comunidad en Skool, donde compartimos noticias, tutoriales y recursos para seguir aprendiendo juntos.
👥 Únete gratis 🚀1. Inyección de JavaScript para saltarse paywalls y banners de cookies. Cada vez que abres un enlace externo en el navegador interno de la app, un script se inyecta automáticamente. Ese código oculta banners de cookies, diálogos GDPR, muros de login, prompts de suscripción y paywalls. Lo hace con CSS y un MutationObserver que destruye continuamente cualquier elemento nuevo de consentimiento. Una app oficial del gobierno estadounidense evade activamente los mecanismos de consentimiento de terceros.
2. Pipeline completo de rastreo GPS. Aunque existen tres “compuertas” antes de activar el tracking, la infraestructura completa está compilada en el APK: solicitudes de ubicación fina cada 4,5 minutos en primer plano y cada 9,5 minutos en segundo plano, captura de latitud, longitud, precisión, timestamp y estado de la app. Todo eso se sincroniza con los servidores de OneSignal, una empresa de notificaciones push privada y no gubernamental. El plugin withNoLocation del config de Expo, que debería haber eliminado esa funcionalidad, claramente no lo hizo.
3. Código de terceros sin sandboxing. La app carga JavaScript de dos fuentes externas para funcionar: lonelycpp.github.io, un sitio de GitHub Pages personal para reproducir videos de YouTube, y Elfsight, una empresa SaaS comercial para widgets de redes sociales. Si cualquiera de esas cuentas se ve comprometida, código arbitrario puede ejecutarse dentro del WebView de la app. Sin ningún tipo de aislamiento.
4. Sin certificate pinning y artefactos de desarrollo en producción. La app usa el gestor SSL estándar de Android, sin pinning de certificados — lo que la hace vulnerable a ataques de intermediario en redes comprometidas. Además, llegó a producción con una URL de localhost, la IP local de un desarrollador (10.4.4.109) y el cliente de desarrollo de Expo incluido. Cosas que no deberían existir en ninguna app publicada.
Por qué esto importa más allá del código
Lo relevante aquí no es que una app gubernamental use React Native o tenga deuda técnica. Lo relevante es el qué hace con los datos de usuarios que confían en que interactúan con una fuente oficial.
Primero, el perfil de usuario que construye OneSignal en este contexto incluye: tags de segmentación, números de teléfono asociados si el usuario los ingresa, identificadores cross-device, historial de notificaciones (recibidas, abiertas, ignoradas), clics en mensajes dentro de la app y toggles de estado. Eso no es solo “notificaciones push” — es un perfil comportamental detallado en servidores privados.
Segundo, la inyección de JavaScript para saltar paywalls tiene una capa legal no trivial: los sitios web tienen términos de uso, y bypasear sus mecanismos de acceso desde una app oficial plantea preguntas sobre si el gobierno está facilitando activamente el incumplimiento de contratos privados en los dispositivos de sus ciudadanos.
Tercero, la infraestructura crítica de la app — imágenes en Uploadcare, emails en Mailchimp, widgets de Truth Social, embeds de Facebook — no está bajo control gubernamental. Si alguno de esos servicios cambia sus condiciones o se ve comprometido, la experiencia (y la seguridad) de los usuarios de una app oficial cambia sin que el gobierno lo controle.
Hay un dato más que merece mención aparte: la app incluye un enlace directo al formulario de denuncias del ICE. En una app de noticias.
Las lecciones para cualquier equipo que construye software
El caso de la app de la Casa Blanca ejemplifica un patrón que vemos con frecuencia: la carrera por lanzar una app visible descuida los procesos de revisión de seguridad. No hace falta ser un objetivo político para sufrir las consecuencias de una arquitectura descuidada.
Tres lecciones concretas:
- Las dependencias son superficie de ataque. Cargar JavaScript de un GitHub personal o un SaaS comercial sin sandboxing es el equivalente a dejar la puerta trasera abierta. Cada librería de terceros que se compila tiene que pasar por un proceso de evaluación de riesgo — no solo de conveniencia técnica.
- Los plugins de configuración no son garantía. El plugin
withNoLocationde Expo debería haber removido el código de rastreo GPS. No lo hizo. Las herramientas automáticas tienen límites y los equipos de QA deben verificar con auditorías reales, no asumir que la configuración hace lo que promete. - Certificate pinning no es opcional cuando manejas datos sensibles. Sin él, cualquier red comprometida — una red corporativa con proxy, un café con MITM — puede interceptar el tráfico. En 2026, con ataques cada vez más sofisticados, esto es higiene básica.
La pregunta incómoda
Si una app lanzada por el gobierno de la primera potencia tecnológica del mundo llega a producción con artefactos de desarrollo, sin pinning de certificados y cargando código de un GitHub personal — ¿qué estándar podemos esperar del resto?
La respuesta no es que el gobierno es incompetente. Es que los incentivos para lanzar rápido (un portal de noticias político en el primer trimestre de un nuevo mandato) raramente se alinean con los incentivos para auditar la seguridad. Y eso aplica igual a cualquier equipo que construye software bajo presión.
El análisis técnico no dice que esto sea ilegal. Pero sí establece que no es lo que esperarías de una app oficial. Y ahí está el problema real: no la tecnología, sino la brecha entre lo que se promete y lo que se entrega.
