Aplicaciones de citas sufrieron grave error de funcionamiento; usuarios quedaron expuestos por “filtraciones inadvertidas”

Aplicaciones de citas como Badoo, Bumble, Grindr, Hinge o Hily permitieron a usuarios maliciosos y acosadores conocer la ubicación de sus víctimas potenciales con una precisión de hasta dos metros debido a un desajuste en el funcionamiento de sus interfaces de programación de aplicaciones (API, por sus siglas en inglés).

Investigadores de la Universidad KU Leuven de Bélgica han analizado hasta 15 aplicaciones populares de este tipo -con al menos 10 millones de descargas en total- y han descubierto que seis de ellas cometían el mismo error, según un nuevo artículo académico.

En este informe han realizado una evaluación de los datos personales y confidenciales que se comparten con otros usuarios en el uso de estas apps. Esto es, aquellos que muestran a otras de forma intencionada y aquellos que se ofrecen sin su autorización, que provienen de “filtraciones inadvertidas” de la API en la que se basan estos servicios.

Este intercambio inadvertido se refiere a la información que no aparece en la interfaz de usuario y que un actor malicioso puede recuperar para su beneficio. Esto “entra en conflicto directo con la percepción del usuario de lo que está compartiendo y lo que otros pueden saber sobre ellos”.

Cabe recordar que la mayoría de estos servicios se basa en la ubicación, un formato denominado LBD, por sus siglas en inglés. Esto significa que exigen a los usuarios que tengan activada la localización del dispositivo para funcionar y mostrarles las personas que se pueden ajustar a lo que buscan dentro de una distancia máxima previamente configurada.

Una de las principales conclusiones de este estudio guarda relación con los servicios de geolocalización de estas aplicaciones. Para llegar a ella y conocer los riesgos a los que se exponen los usuarios, se planteó un análisis en tres fases.

Primero se comprobó con qué facilidad un agente malicioso puede crear una cuenta en estas aplicaciones para recopilar datos privados de otros usuarios. A continuación, se midieron los datos personales que comparten estas aplicaciones, incluidos datos confidenciales sobre citas y ubicaciones exactas de los usuarios. Finalmente, se examinó la forma en que las políticas de privacidad de estas aplicaciones abordan la recopilación y posible filtración de los datos personales.

Para evaluar si estas apps permiten extraer información sobre la ubicación exacta de un usuario sin su conocimiento, los investigadores aplicaron una técnica denominada trilateración.

El GPS funciona a través de una técnica llamada trilateración, que recopila señales de los satélites para enviar información sobre la localización en base a tres puntos que permiten calcular la distancia relativa a un objetivo.

Esta trilateración se divide en tres categorías, como son la trilateración de distancia exacta, trilateración de distancia redondeada y trilateración de oráculo, que dan una información más o menos aproximada sobre la ubicación en la que se encuentra el usuario objetivo.

En este sentido, los académico belgas han descubierto que, del total de las apps analizadas, Hinge, Happn, Bumble, Grindr, Badoo y Hily habrían expuesto información relacionada con la ubicación de sus usuarios debido a que sus API filtran datos ocultos sin que estos sean conscientes de que los están compartiendo.

Debido a que se puede haber mostrado a acosadores y actores maliciosos la ubicación casi exacta de sus víctimas potenciales, con una precisión de hasta dos metros en algunos casos, estas ‘apps’ habrían posibilitado “las amenazas físicas a la seguridad personal de los usuarios”.

Los investigadores también han señalado que las políticas de privacidad de las aplicaciones tampoco informan a los usuarios sobre estas amenazas a su privacidad, lo que deberían hacer para que ellos puedan decidir qué tipo de información quieren compartir a sabiendas de que se puede exponer a personas no autorizadas.

La vicepresidente de Comunicación Global de Bumble -también propietaria de Badoo-, Gabrielle Ferree, ha señalado que la firma “se enteró de estos hallazgos a principios de 2023 y resolvió rápidamente los problemas descritos”, tal y como recogen medios como TechCrunch.

El director de Tecnología y cofundador de Hily, Dmytro Kononov, argumentó que la compañía había recibido un informe sobre estas fugas en mayo de 2023 y comenzó una investigación para evaluar los daños.

“Los resultados indicaron una posibilidad potencial de trilateración. Sin embargo, en la práctica, explotar esto para realizar ataques era imposible”, ha dicho, ya que utiliza una serie de mecanismos internos de protección de ‘spam’. Asimismo, desarrollaron nuevos algoritmos de geocodificación “para eliminar por completo este ataque”.

*Con información de Europa Press