Una investigación reveló que aplicaciones de citas como Bumble y Hinge ponen en riesgo la seguridad de sus usuarios, al permitir que acosadores tengan herramientas para encontrar su ubicación con un rango de precisión de hasta dos metros.
El estudio, realizado por investigadores de la Universidad KU Leuven en Bélgica, analizó sistemáticamente 15 aplicaciones de citas basadas en la ubicación. Entre las aplicaciones evaluadas se encontraban Badoo, Bumble, Grindr, happn, Hinge y Hily, todas estas compartían la misma vulnerabilidad que podría haber sido explotada por un usuario malintencionado para identificar la ubicación casi exacta de otro usuario.
A través de un análisis manual y detallado, los investigadores descubrieron que, aunque las aplicaciones no compartían directamente ubicaciones exactas en los perfiles de los usuarios, sí utilizaban datos precisos para funciones de “filtros” dentro de las apps.
Estos filtros permiten a los usuarios personalizar su búsqueda de pareja basándose en criterios como la edad, la altura, el tipo de relación que buscan y, crucialmente, la distancia.
Cómo es posible que los acosadores encuentren a los usuarios
Para identificar la ubicación exacta de un usuario objetivo, los investigadores utilizaron una técnica llamada “trilateración de oráculo”. En general, este sistema es similar a la utilizada en el GPS y funciona utilizando tres puntos y midiendo su distancia relativa al objetivo. Esto crea tres círculos que se interceptan en el punto donde se encuentra el objetivo.
La trilateración de oráculo funciona de manera ligeramente diferente. El atacante estima inicialmente la ubicación aproximada de la víctima basándose en la información disponible en su perfil. Luego, el atacante se desplaza en incrementos hasta que el “oráculo” indica que la víctima ya no está dentro de la proximidad, y repite este proceso en tres direcciones diferentes.
De esta manera, el atacante obtiene tres posiciones con una distancia exacta conocida y puede enlazarlos para obtener la ubicación de la víctima.
Uno de los investigadores, Karel Dhondt, expresó su sorpresa al encontrar problemas conocidos aún presentes en estas aplicaciones populares. Aunque esta técnica no revela las coordenadas GPS exactas de la víctima, el investigador afirmó que “dos metros es suficientemente cercano para localizar al usuario”.
Sin embargo, todas las aplicaciones que presentaban estos problemas y que fueron contactadas por los investigadores, ya han modificado cómo funcionan los filtros de distancia para evitar la vulnerabilidad a la trilateración de oráculo.
Gabrielle Ferree, vicepresidenta de comunicaciones globales de Bumble, indicó que la compañía fue informada de estos hallazgos a principios de 2023 y resolvió rápidamente los problemas descritos.
Dmytro Kononov, CTO y cofundador de Hily, comentó que la empresa recibió un informe sobre la vulnerabilidad en mayo de 2023 y realizó una investigación para evaluar las afirmaciones de los investigadores. A pesar de que los hallazgos indicaban una posibilidad potencial de trilateración, Kononov señaló que, en la práctica, explotarlo para ataques era imposible debido a los mecanismos internos diseñados para proteger contra spammers y la lógica del algoritmo de búsqueda.
Medidas de protección ante estos riesgos
Las aplicaciones de citas basadas en la ubicación permiten a los usuarios conocer a personas cercanas y establecer relaciones. Sin embargo, el intercambio de datos personales y sensibles en estas plataformas presenta riesgos significativos. Los atacantes pueden utilizar la información obtenida de manera legítima a través de la plataforma para acosar, extorsionar o incluso cometer delitos graves contra los usuarios.
La exposición de datos personales como nombre, edad, orientación sexual y otros atributos sensibles puede llevar a violaciones de la privacidad social y amenazas a la seguridad personal.
Para mitigar estos riesgos, los investigadores recomiendan a las plataformas aplicar las siguientes medidas de seguridad:
- Mayor control del usuario: las aplicaciones deben permitir a los usuarios controlar con mayor precisión qué datos comparten y con quién.
- Minimización de datos: reducción de la recopilación de datos para mejorar la privacidad del usuario.
- Fortalecimiento de las APIs: prevención de fugas de datos mediante el endurecimiento de las APIs.
Además, es fundamental que las aplicaciones de citas informen claramente a los usuarios sobre los riesgos de compartir datos personales y les proporcionen herramientas para proteger su privacidad. A pesar de que algunas plataformas ofrecen opciones de control de privacidad, muchas aún colocan la responsabilidad de proteger la privacidad en los mismos usuarios, lo que puede no ser suficiente para prevenir abusos.