Romance con sabor a hackeo: un desliz a la derecha y los hackers ya conocen tu dirección

Investigadores de Bélgica han descubierto que muchas aplicaciones de citas pueden amenazar la privacidad de los usuarios, divulgando sus datos sensibles e incluso su ubicación exacta. Karel Dondt y Victor Le Pochat de la Universidad KU Leuven analizaron 15 aplicaciones populares, incluyendo Tinder, Bumble, Grindr, y llegaron a conclusiones desalentadoras.

Se descubrió que las 15 aplicaciones permitían la filtración de cierta información sensible que podría ser utilizada por malhechores. Según el RGPD, dicha información incluye datos sobre origen étnico, opiniones políticas, orientación sexual y salud. Le Pochat enfatizó que para acceder a estos datos ni siquiera se requiere hackear los servidores de un servicio determinado, basta con tener conocimientos técnicos y monitorear el tráfico.

Seis aplicaciones, entre ellas Bumble, Grindr y Hinge, permitían a potenciales malhechores determinar la ubicación exacta de los usuarios. Esto se lograba mediante el análisis de las distancias utilizadas para emparejar a las personas.

Anteriormente, Dondt y Le Pochat estudiaron las filtraciones de datos en aplicaciones de fitness, como Strava, e incluso presentaron sus hallazgos en la conferencia Black Hat Asia en 2023, lo que planean hacer de nuevo este año en la conferencia Black Hat USA 2024. Su nueva investigación surgió de la tesis de Dondt sobre la protección de datos personales.

Uno de los métodos utilizados por los investigadores para determinar la ubicación de los usuarios a través de servicios de citas fue la trilateración, similar al método GPS. Esto permitió determinar con precisión las coordenadas de un usuario seleccionado mediante la intersección de círculos construidos a partir de distancias conocidas.

En la aplicación Grindr, los investigadores identificaron una vulnerabilidad que permitía determinar la ubicación de un usuario con precisión de metros, incluso si ocultaba la información de distancia en su perfil. Algunas aplicaciones utilizaban el método de «trilateración redondeada» o «trilateración oráculo», lo que también permitía a los malhechores determinar la ubicación con bastante precisión. Por ejemplo, las aplicaciones Badoo, Bumble y Hinge eran susceptibles a estas vulnerabilidades.

Los investigadores señalaron que la filtración de datos en aplicaciones de citas puede representar una seria amenaza para la seguridad de los usuarios, incluyendo la física. Todo debido a la naturaleza íntima de las interacciones en tales aplicaciones.

Al analizar el tráfico de las aplicaciones, los investigadores descubrieron con sorpresa que muchas de ellas envían mucha más información de la que se muestra en la interfaz gráfica. Por ejemplo, en Tinder se puede ocultar el género, pero en la API esta información se transmite de todos modos.

Todas las compañías cuyas aplicaciones eran vulnerables fueron notificadas por los investigadores, y la mayoría de las brechas descritas anteriormente, incluidas las filtraciones de ubicación, ya han sido corregidas. Sin embargo, algunas empresas consideraron que tales filtraciones no representan una gran amenaza y, en general, son un comportamiento inicialmente previsto de su aplicación.

Los investigadores instan a los usuarios a tener cuidado con la información que comparten a través de las aplicaciones de citas. «Las aplicaciones animan a compartir más información para aumentar las posibilidades de conseguir un match, pero lo que no saben, definitivamente no puede filtrarse», señaló acertadamente Dondt.

Esta investigación sirve como un recordatorio de que en la búsqueda de comunicación en línea y relaciones románticas, no debemos olvidar el precio que pagamos por la aparente facilidad de tal comunicación. Cada usuario debe ser consciente de la responsabilidad de proteger sus datos personales y evaluar críticamente qué información está dispuesto a confiar al mundo digital y cuál no.