La seguridad de las citas online

¿Qué tan efectiva es la seguridad de las aplicaciones de citas online?

El objetivo de las aplicaciones de citas es conocer a otras personas y divertirse, y no entregar información personal a diestra y siniestra. Desafortunadamente, cuando se trata de servicios de citas, siempre hay preocupaciones con la seguridad y la privacidad. En la conferencia MWC21, Tatyana Shishkova, analista sénior de malware en Kaspersky, presentó un informe sobre la seguridad de las aplicaciones de citas online. Analizamos las conclusiones que sacó del estudio de la privacidad y seguridad de los servicios de citas online más populares, y lo que los usuarios deben hacer para que sus datos estén seguros.

Seguridad de las aplicaciones de citas: qué ha cambiado en cuatro años

Nuestros expertos ya habían realizado un estudio parecido hace varios años. Después de investigar nueve servicios populares en 2017, llegaron a la sombría conclusión de que las aplicaciones de citas tenían problemas graves con respecto a la transferencia segura de la información de los usuarios, así como de su almacenamiento y accesibilidad para otros usuarios. Estas son las principales amenazas que se revelaron en el informe de 2017:

  • De las nueva aplicaciones estudiadas, seis no ocultaban la ubicación del usuario.
  • Cuatro posibilitaban encontrar el nombre real del usuario y localizar sus cuentas de redes sociales.
  • Cuatro permitían que personas ajenas interceptaran los datos reenviados por la aplicación, los cuales podrían contener información confidencial.

Decidimos ver qué había cambiado en el 2021. El estudio se enfocó en las nueve aplicaciones de citas más populares: Tinder, OKCupid, Badoo, Bumble, Mamba, Pure, Feeld, Happn y Her. Esta alineación es un poco diferente de la del 2017, ya que el mercado de citas online ha cambiado un poco. Habiendo dicho esto, las aplicaciones más utilizadas siguen siendo las mismas que hace cuatro años.

Seguridad de la transferencia de datos y su almacenamiento

Durante los últimos cuatro años, la situación con la transferencia de datos entre la aplicación y el servidor ha mejorado mucho. En primer lugar, las nueve aplicaciones que investigamos en esta ocasión utilizan cifrado. En segundo lugar, todas incluyen un mecanismo contra ataques de spoofing de certificados: al detectar un certificado, la aplicación solo deja de transmitir datos. Además, Mamba muestra una advertencia de que la conexión no es segura.

En lo que respecta a los datos almacenados en el dispositivo del usuario, un atacante potencial todavía puede obtener acceso a estos si de alguna forma obtiene los derechos de superusuario (root). Sin embargo, este es un escenario poco probable. Además, el acceso a root en las manos equivocadas básicamente deja el dispositivo indefenso, así que el robo de datos de una aplicación de citas es el menor de los problemas de la víctima.

Contraseña enviada por correo electrónico en texto legible

Dos de las nueve aplicaciones que se estudian (Mamba y Badoo) envían por correo la contraseña de los usuarios nuevos en texto legible. Debido a que muchas personas no se molestan en cambiar la contraseña de inmediato después del registro (si es que lo hacen), y, en general, tienden a ser descuidadas con la seguridad de su correo, esta no es una buena práctica. Al hackear el correo del usuario o interceptar el correo electrónico, un atacante potencial podría descubrir la contraseña y utilizarla para obtener acceso a la cuenta también (a menos, por supuesto, que se habilite la autenticación de dos factores en la aplicación de citas).

Informe de Tatyana Shishkova en MWC21

Foto de perfil obligatoria

Uno de los problemas con los servicios de citas es que capturas de pantalla de las conversaciones de los usuarios o perfiles pueden utilizarse para doxing, avergonzar u otros propósitos maliciosos. Desafortunadamente, de las nueve aplicaciones, solo una, Pure, te permite crear una cuenta sin una foto (es decir, que no tan fácilmente pueda saberse que eres tú); también deshabilita las capturas de pantalla. Por otro lado, Mamba ofrece una opción gratuita para desenfocar la foto, lo que te permite mostrar tus fotos solo a los usuarios que elijas. Otras aplicaciones también ofrecen está función, con un costo.

Aplicaciones para citas y redes sociales

Todas las aplicaciones en cuestión (excepto Pure) permiten que los usuarios se registren mediante su cuenta en redes sociales, por lo general Facebook. De hecho, esta es la única opción para quienes no quieren compartir su número telefónico con la aplicación. Sin embargo, si tu cuenta de Facebook no es suficientemente “respetable” (muy nueva o muy pocos amigos, por decir algo), lo más probable es que sí tengas que compartir tu número telefónico.

El problema es que la mayoría de las aplicaciones automáticamente exportan tus fotos de perfil de Facebook en la cuenta de usuario nueva. De esta manera, es posible vincular una cuenta de aplicación de citas a una cuenta de medios sociales solo por las fotos.

Además, muchas aplicaciones de citas permiten, e incluso recomiendan, a los usuarios vincular sus perfiles a otras redes sociales y servicios online, como Instagram o Spotify, de manera que sus fotos nuevas o música favorita puedan agregarse de manera automática al perfil. Si bien no hay una manera segura de identificar una cuenta en otro servicio, ciertamente la información del perfil en la aplicación de citas puede ayudar a encontrar a alguien en otros sitios web.

La ubicación lo es todo

Tal vez el aspecto más controversial de las aplicaciones de citas es la necesidad, en la mayoría de los casos, de compartir tu ubicación. De las nueve aplicaciones que investigamos, cuatro (Tinder, Bumble, Happn y Her) requieren acceso obligatorio a la geolocalización. Tres te permiten cambiar tus coordenadas exactas a la región general, pero solo en la versión de paga. Happn no tiene esta opción, pero la versión de paga te permite ocultar la distancia entre tú y otros usuarios.

Mamba, Badoo, OkCupid, Pure y Feeld no requiere acceso obligatorio a la geolocalización, y te permiten especificar de forma manual tu ubicación, incluso en la versión gratuita. Pero sí ofrecen la detección automática de tus coordenadas. En el caso de Mamba especialmente, no recomendamos otorgar acceso a los datos de geolocalización, ya que el servicio puede determinar tu distancia de otros con una precisión de miedo: un metro.

En general, si un usuario permite que la aplicación muestre sus inmediaciones, en la mayoría de los servicios no es difícil calcular su posición mediante triangulación y programas de spoofing de ubicación. Una de las cuatro aplicaciones de citas que requieren los datos de geolocalización para funcionar, solo dos, Tinder y Bumble, contrarrestan el uso de dichos programas.

Uno de los problemas más grandes con las aplicaciones de citas es la posibilidad de determinar la ubicación del usuario

Lecciones

Desde un punto de vista meramente técnico, la seguridad de las aplicaciones de citas ha mejorado mucho en los últimos cuatro años. Todos los servicios que estudiamos ahora utilizan cifrado y resisten los ataques de tipo man-in-the-middle. La mayoría de las aplicaciones tienen programas de caza de bugs, los cuales ayudas a reparar las vulnerabilidades serias en sus productos.

Pero en lo que respecta a la privacidad, las cosas no son de color de rosa: hay poca motivación para proteger a los usuarios de compartir demasiado. Con frecuencia, la gente publica mucho más información personal de lo que es razonable, mientras olvidan o ignoran las posibles consecuencias: doxing,, acoso, filtración de datos y otros problemas online.

Cierto, el problema de compartir demasiado no está limitado a las aplicaciones de citas, las cosas no son mejor en las redes sociales. Pero debido a su naturaleza específica, las aplicaciones de citas con frecuencia animan a los usuarios a compartir información que no publicarían en otro lado. Además, por lo general, los servicios de citas online tienen menos control sobre con quién los usuarios comparten estos datos.

Por lo tanto, recomendamos a todos los usuarios de las aplicaciones de citas (u otras) que consideren con más cuidado lo que quieren o no compartir.

Consejos