El objetivo de las aplicaciones de citas es conocer a otras personas y divertirse, y no entregar información personal a diestro y siniestro. Por desgracia, cuando este tipo de aplicaciones entra en acción, siempre surgen preocupaciones con la seguridad y la privacidad. En la conferencia MWC21, Tatyana Shishkova, analista sénior de malware en Kaspersky, presentó un informe sobre la seguridad de las aplicaciones de citas online. Analizamos las conclusiones que sacó del estudio de la privacidad y seguridad de los servicios de citas online más populares, y todo lo que los usuarios deben hacer para que sus datos estén seguros.
La seguridad en las aplicaciones de citas: qué ha cambiado en cuatro años
Nuestros expertos ya habían realizado un estudio parecido hace varios años y, tras investigar 9 servicios populares en el 2017, llegaron a la sombría conclusión de que las aplicaciones de citas presentaban serios problemas con respecto a la transferencia segura de la información de los usuarios, así como de su almacenamiento y accesibilidad para otros usuarios. Estas son las principales amenazas que se revelaron en el informe del 2017:
- De las 9 aplicaciones estudiadas, 6 no ocultaban la ubicación del usuario.
- En 4 se podía encontrar el nombre real del usuario y localizar sus cuentas de redes sociales.
- Otras 4 permitían que personas ajenas interceptaran los datos reenviados por la aplicación, que podrían contener información confidencial.
Decidimos ver qué había cambiado en el 2021. Este nuevo estudio se centró en las nueve aplicaciones de citas más populares: Tinder, OKCupid, Badoo, Bumble, Mamba, Pure, Feeld, Happn y Her. Esta lista es un poco diferente de la del 2017, ya que el mercado de citas online ha cambiado ligeramente. Dicho esto, las aplicaciones más utilizadas siguen siendo las mismas que hace cuatro años.
La seguridad de la transferencia de datos y su almacenamiento
En los últimos 4 años, la situación con la transferencia de datos entre la aplicación y el servidor ha mejorado ampliamente. En primer lugar, las nueve aplicaciones que investigamos en esta ocasión utilizan cifrado. Y, en segundo lugar, todas incluyen un mecanismo contra ataques de spoofing de certificados: al detectar un certificado, la aplicación simplemente deja de transmitir datos. Además, Mamba muestra una advertencia de que la conexión no es segura.
En lo que respecta a los datos almacenados en el dispositivo del usuario, un atacante potencial seguiría pudiendo obtener acceso a estos si de alguna forma consigue los derechos (root) de superusuario. Sin embargo, esta es una situación poco probable. Además, el acceso root en las manos equivocadas básicamente deja el dispositivo indefenso, por lo que el robo de datos de una aplicación de citas es el menor de los problemas de la víctima.
La contraseña enviada por correo electrónico en texto sin cifrar
Dos de las nueve aplicaciones que se estudian (Mamba y Badoo) envían por correo la contraseña de los usuarios nuevos en texto plano. Dado que muchas personas no se molestan en cambiar la contraseña de inmediato después del registro (si es que lo hacen) y, en general, tienden a ser descuidadas con la seguridad de su correo, esta no es una buena práctica. Al hackear el correo del usuario o interceptar el correo electrónico, un atacante podría descubrir la contraseña y utilizarla para obtener acceso a la cuenta también (a menos, por supuesto, que se habilite la autenticación de dos factores en la aplicación de citas).
La foto de perfil obligatoria
Uno de los problemas con los servicios de citas es que las capturas de pantalla de las conversaciones de los usuarios o perfiles pueden utilizarse para el doxing, ridiculizar u otros propósitos maliciosos. Por desgracia, de las nueve aplicaciones, solo una, Pure, te permite crear una cuenta sin una foto (es decir, que no se podrá saber tan fácilmente si eres tú); además, también deshabilita las capturas de pantalla. Por otro lado, Mamba ofrece una opción gratuita para desenfocar la foto, lo que te permite mostrar tus fotos solo a los usuarios que elijas. Otras aplicaciones también ofrecen está función con un coste adicional.
Las aplicaciones de citas y las redes sociales
Todas las aplicaciones en cuestión (excepto Pure) permiten que los usuarios se registren mediante su cuenta de redes sociales, por lo general Facebook. De hecho, esta es la única opción para quienes no quieren compartir su número telefónico con la aplicación. Sin embargo, si tu cuenta de Facebook no es suficientemente “respetable” (muy nueva o con muy pocos amigos, por decir algo), lo más probable es que sí tengas que compartir tu número telefónico.
El problema es que la mayoría de las aplicaciones exportan de forma automática tus fotos de perfil de Facebook a la cuenta de usuario nueva. De esta forma, es posible vincular una cuenta de la aplicación de citas a una de redes sociales solo por las fotos.
Además, muchas aplicaciones de citas permiten, e incluso recomiendan, a los usuarios vincular sus perfiles a otras redes sociales y servicios online, como Instagram o Spotify, de forma que sus fotos nuevas o música favorita puedan agregarse de manera automática al perfil. Aunque no hay una forma segura de identificar una cuenta en otro servicio, la información del perfil en la aplicación de citas puede ayudar a encontrar a alguien en otros sitios web.
La ubicación lo es todo
Tal vez el aspecto más controvertido de las aplicaciones de citas es la necesidad, en la mayoría de los casos, de compartir tu ubicación. De las nueve aplicaciones que investigamos, cuatro (Tinder, Bumble, Happn y Her) requieren acceso obligatorio a la geolocalización. Tres te permiten cambiar tus coordenadas exactas a la región general, pero solo en la versión de pago. Happn no tiene esta opción, pero la versión de pago te permite ocultar la distancia entre tú y otros usuarios.
Mamba, Badoo, OkCupid, Pure y Feeld no requieren acceso obligatorio a la geolocalización y te permiten especificar de forma manual tu ubicación, incluso en la versión gratuita. Pero sí ofrecen la detección automática de tus coordenadas. En el caso de Mamba especialmente, no recomendamos otorgar acceso a los datos de geolocalización, ya que el servicio puede determinar la distancia respecto de los otros con una precisión de miedo: un metro.
En general, si un usuario permite que la aplicación muestre sus inmediaciones, en la mayoría de los servicios no es difícil calcular su posición mediante triangulación y programas de spoofing de ubicación. De las cuatro aplicaciones de citas que requieren los datos de geolocalización para funcionar, solo dos, Tinder y Bumble, contrarrestan el uso de dichos programas.
Conclusiones
Desde un punto de vista meramente técnico, la seguridad de las aplicaciones de citas ha mejorado mucho en los últimos cuatro años. Todos los servicios que estudiamos ahora utilizan el cifrado y resisten los ataques de tipo man-in-the-middle. Además, la mayoría de las aplicaciones cuentan con programas de bug bounty o recompensa que ayudan a reparar las vulnerabilidades graves en sus productos.
Pero, en lo que respecta a la privacidad, las cosas no son de color de rosa: las aplicaciones no intentan evitar que los usuarios tengan que compartir demasiado. Con frecuencia, la gente publica mucha más información personal de lo que es razonable, mientras olvidan o ignoran las posibles consecuencias: doxing, acoso, filtración de datos y otros problemas online.
Evidentemente, el problema de compartir demasiado no está limitado a las aplicaciones de citas, las cosas no son mejor en las redes sociales. Pero debido a su naturaleza específica, las aplicaciones de citas con frecuencia animan a los usuarios a compartir información que no publicarían en otro lado. Además, por lo general, los servicios de citas online tienen menos control sobre con quién comparten los usuarios estos datos.
Por lo tanto, recomendamos a todos los usuarios de las aplicaciones de citas (u otras) que piensen bien lo que quieren o no compartir.