Aplicaciones de citas como Badoo, Bumble, Grindr, Hinge o Hily permitieron a usuarios maliciosos y acosadores conocer la ubicación de sus víctimas potenciales con una precisión de hasta dos metros debido a un desajuste en el funcionamiento de sus interfaces de programación de aplicaciones (APIs, por sus siglas en inglés).
Investigadores de la Universidad KU Leuven de Bélgica han analizado hasta 15 aplicaciones populares de este tipo -con al menos 10 millones de descargas en total- y han descubierto que seis de ellas cometían el mismo error, según un nuevo artículo académico.
En este informe han realizado una evaluación de los datos personales y confidenciales que se comparten con otros usuarios en el uso de estas ‘apps’. Esto es, aquellos que estas personas muestran a otras de forma intencionada y aquellos que se ofrecen sin su autorización, que provienen de «filtraciones inadvertidas» de la API en la que se basan estos servicios.
Este intercambio inadvertido se refiere a la información que no aparece en la interfaz de usuario y que un actor malicioso puede recuperar para su beneficio. Esto «entra en conflicto directo con la percepción del usuario de lo que está compartiendo y lo que otros pueden saber sobre ellos».
Cabe recordar que la mayoría de estos servicios se basan en la ubicación, un formato denominado LBD, por sus siglas en inglés. Esto significa que exigen a los usuarios que tengan activada la localización del dispositivo para funcionar y mostrarles las personas que se pueden ajustar a lo que buscan dentro de una distancia máxima previamente configurada.
Una de las principales conclusiones de este estudio guardar relación con los servicios de geolocalización de estas aplicaciones. Para llegar a ella y conocer los riesgos a los que se exponen los usuarios, de planteó un análisis en tres fases.
Primero se comprobó con qué facilidad un agente malicioso puede cear una cuenta en estas aplicaciones para recopilar datos privados de otros usuarios. A continuación se midieron los datos personales que comparten estas aplicaciones, incluidos datos confidenciales sobre citas y ubicaciones exactas de los usuarios. Finalmente, se examinó la forma en que las políticas de privacidad de estas aplicaciones abordan la recopilación y posible filtración de los datos personales.
Para evaluar si estas ‘apps’ permiten extraer información sobre la ubicación exacta de un usuario sin su conocimiento, los investigadores aplicaron una técnica denominada trilateración.
El GPS funciona a través de una técnica llamada trilateración, que recopila señales de los satélites para enviar información sobre la localización en base a tres puntos que permiten calcular la distancia relativa a un objetivo.
Esta trilateración se divide en tres categorías, como son la trilateración de distancia exacta, trilateración de distancia redondeada y trilateración de oráculo, que dan una información más o menos aproximada sobre la ubicación en la que se encuentra el usuarios objetivo.
En este sentido, los académico belgas han descubierto que del total de las ‘apps’ analizadas, Hinge, Happn, Bumble, Grindr, Badoo y Hily habrían expuesto información relacionada con la ubicación de sus usuarios debido a que sus API filtran datos ocultos sin que estos sean conscientes de que los están compartiendo.
Debido a que se puede haber mostrado a acosadores y actores maliciosos la ubicación casi exacta de sus víctimas potenciales, con una precisión de hasta dos metros en algunos casos, estas ‘apps’ habrían posibilitado «las amenazas físicas a la seguridad personal de los usuarios».
Los investigadores también han señalado que las políticas de privacidad de las aplicaciones tampoco informan a los usuarios sobre estas amenazas a su privacidad, lo que deberían hacer para que ellos puedan decidir qué tipo de información quieren compartir a sabiendas de que se puede exponer a personas mo autorizadas.
La vicepresidente de Comunicación Global de Bumble -también propietaria de Badoo-, Gabrielle Ferree, ha señalado que la firma «se enteró de estos hallazgos a principios de 2023 y resolvió rápidamente los problemas descritos», tal y como recogen medios como TechCrunch.
El director de Tecnología y cofundador de Hily, Dmytro Kononov, argumentó que la compañía había recibido un informe sobre estas fugras en mayo de 2023 y comenzó una investigación para evaluar los daños.
«Los resultados indicaron una posibilidad potencial de trilateración. Sin embargo, en la práctica, explotar esto para realizar ataques era imposible», ha dicho, ya que utiliza una serie de mecanismos internos de protección de ‘spam’. Asimismo, desarrollaron nuevos algoritmos de geocodificación «para eliminar por completo este ataque».
Por su parte, desde Happn han señalado que «tiene una capa adicional de protección más allá de la simple medición de distancias, que no se tuvo en cuenta en el análisis [de los investigadores belgas] y que hace que la técnica de trilateración sea ineficaz», en palabras de la directora ejecutiva y presidenta de la ‘app’, Karima Ben Abdelmalek.
En cuanto a Grindr, los analistas descubrieron que permitía localizar a una persona a unos 111 metros de sus coordenadas exactas. A pesar de no ser tan precisa como otras ‘apps’, esta característica seguiría siendo potencialmente peligrosa para los usuarios.
A pesar de ello, sus responsables han subrayado que «como sucede con muchas otras redes sociales», su aplicación requiere cierta información de ubicación y que los usuarios «controlan qué información proporcionan» relacionada con ella.
VENTA DE DATOS CON FINES PUBLICITARIOS
Además de compartir la ubicación de los usuarios, Fundación Mozilla descubrió recientemente que buena parte de estas aplicaciones tiene la capacidad de compartir o vender la información personal de sus usuarios.
Los investigadores determinaron que, de las 25 aplicaciones de citas analizadas -entre las que se encontraban Badoo, Muzz, Her, Tinder, Match, Tinder y Bumble- solo tres obtenían el visto bueno en materia de protección de datos y privacidad. En concreto, Lex, eHarmony y Happn.
El resto habría proporcionado, como mínimo, la información que los usuarios añaden en la descripción de su perfil con fines publicitarios, ya que otras como OkCupid obligan a los usuarios a compartir fotos, vídeos y contenidos de voz para conocer mejor a los usuarios y ofrecer una experiencia más personalizada.