Las aplicaciones de citas más famosas no son completamente seguras para los usuarios y pueden amenazar su privacidad, llegando a revelar incluso su ubicación exacta.
Así lo pone de manifiesto un estudio llevado a cabo por Karel Dhondt y Victor Le Pochat, ambos investigadores de la universidad belga KU Leuven. La investigación se presentará en la próxima conferencia Black Hat USA 2024 de Las Vegas.
Los dos analizaron 15 apps de dating basadas en geolocalización para comprobar qué detalles podría extraer de ellas un actor de amenazas. Entre ellas incluyeron algunas de las más populares a nivel mundial, como Tinder , Bumble, Grindr, Badoo, OKCupid, MeetMe y Hinge, además de otras como Tan Tan de Asia y Meetic de Europa.
Todas las herramientas que examinaron filtraron datos sensibles de los usuarios "que podrían ser utilizados de forma indebida por el atacante", más allá de lo que las personas comparten en sus perfiles públicos o en sus configuraciones personales.
La web de información sobre ciberseguridad Dark Reading habló con Le Pochat, quien reveló que se basaron el RGPD europeo (Reglamento General de Protección de Datos) para marcar qué eran 'datos sensibles' y qué no. Dicha legislación contempla en ella datos como el origen étnico, las opiniones políticas, la orientación sexual y/o el género y la información sanitaria.
Entre los hallazgos destaca la facilidad con la que alguien podría acceder a los datos de los usuarios desde las aplicaciones.
Una localización exacta
Los investigadores también encontraron que las 15 aplicaciones analizadas tienen algún tipo de fuga en su API.
En seis de ellas (incluyendo a Bumble, Grindr y Hinge) un ciberdelincuente podría determinar la ubicación física exacta de los usuarios "al interactuar con la aplicación y comprender cómo se calculaban las distancias".
Los cibermalos pueden usar un método llamado trilateración, que es similar a cómo los satélites GPS rastrean la ubicación. Utilizándola Le Pochat y Dhont descubrieron que podían tomar la distancia conocida desde su ubicación hasta la víctima y construir una serie de círculos con puntos de intersección que conducen a una ubicación precisa del usuario de la app con precisión variable.
La app de dating para el colectivo LGBTQ Grindr incluso dispone de la llamada 'trilateración de distancia exacta', que es precisa hasta para usuarios que tienen información de distancia oculta en su perfiles. Para los investigadores esto puede resultar peligroso para miembros de la comunidad en países donde la actividad homosexal es ilegal.
Estos investigadores advierten de que determinar la ubicación exacta de alguien en una aplicación de citas sin su conocimiento claro puede representar una amenaza física para ellos debido a la naturaleza íntima de las interacciones que ocurren en estos escenarios.
Los dos autores del estudio ya habían colaborado previamente para realizar otra investigación del mismo tipo donde encontraron cómo las apps de fitness, como Strava, eran poco diligentes manejando la información confidencial sobre la ubicación de los usuarios, pese a que estos hayan usado funciones para configurar zonas de privacidad para ocultar su identidad dentro de áreas específicas. Dicho trabajo fue presentado en la edición de 2023 de Black Hat Asia.