{"id":11644,"date":"2017-10-25T03:12:41","date_gmt":"2017-10-25T09:12:41","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=11644"},"modified":"2017-11-07T12:11:40","modified_gmt":"2017-11-07T18:11:40","slug":"dating-apps-threats","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/dating-apps-threats\/11644\/","title":{"rendered":"\u00bfSon seguras las aplicaciones de citas?"},"content":{"rendered":"

Buscar algo en la red, ya sea una relaci\u00f3n duradera o algo de una noche, lleva un tiempo siendo lo com\u00fan. Las aplicaciones de citas ya son parte de nuestro d\u00eda a d\u00eda. Para encontrar el compa\u00f1ero ideal, los usuarios de tales aplicaciones est\u00e1n dispuestos<\/a> a revelar su nombre, ocupaci\u00f3n, lugar de trabajo, ad\u00f3nde les gusta ir, y otros muchos aspectos. Las aplicaciones de citas suelen tener acceso a alg\u00fan tipo de informaci\u00f3n \u00edntima, como fotos desnudo. Pero \u00bfcon cu\u00e1nto cuidado manejan las aplicaciones esta informaci\u00f3n? Kaspersky Lab lo comprob\u00f3.<\/p>\n

\"\"<\/p>\n

Nuestros expertos estudiaron las aplicaciones de citas m\u00e1s populares<\/a> (Tinder, Bumble, OkCupid, Badoo, Mamba, Zoosk, Happn, WeChat, Paktor) e identificaron las principales amenazas para los usuarios. Ya informamos a los desarrolladores sobre todas las vulnerabilidades detectadas y, ahora que se public\u00f3 este art\u00edculo, ya se solucionaron algunas y otras muy pronto. No obstante, no todos los desarrolladores se han comprometido a parchear todos los fallos.<\/p>\n

1\u00aa amenaza. \u00bfQui\u00e9n eres?<\/h3>\n

Nuestros investigadores descubrieron que cuatro de cada nueve aplicaciones investigadas permiten a los delincuentes potenciales saber qui\u00e9n se esconde detr\u00e1s del nombre de usuario seg\u00fan los datos que este proporcione. Por ejemplo, Tinder, Happn y Bumble permiten que cualquiera vea el lugar de trabajo o de estudios de los usuarios. Mediante esta informaci\u00f3n, es posible encontrar sus cuentas en redes sociales y averiguar sus nombres reales. Happn, en particular, usa las cuentas de Facebook para el intercambio de datos con el servidor. Con un esfuerzo m\u00ednimo, cualquiera puede averiguar los nombres y apellidos de los usuarios de Happn y dem\u00e1s informaci\u00f3n de sus perfiles de Facebook.<\/p>\n

Y si alguien intercepta el tr\u00e1fico de un dispositivo personal que tenga instalado Paktor, le sorprender\u00e1 saber que puede ver la direcci\u00f3n de correo electr\u00f3nico de otros usuarios de la aplicaci\u00f3n.<\/p>\n

Al parecer, es posible identificar a los usuarios de Happn y Paktor en otras redes sociales en cualquier momento, con un 60 % de \u00e9xito en Tinder y un 50 % en Bumble.<\/p>\n

2\u00aa amenaza. \u00bfD\u00f3nde est\u00e1s?<\/h3>\n

Si alguien quiere conocer tu ubicaci\u00f3n, seis de cada nueve aplicaciones permiten averiguarlo. Solo OkCupid, Bumble y Badoo mantienen la ubicaci\u00f3n de sus usuarios bajo llave. Todas las dem\u00e1s aplicaciones indican la distancia entre la persona que te interesa y t\u00fa. Al registrar la distancia entre los dos, es f\u00e1cil determinar la localizaci\u00f3n exacta de la \u201cpresa\u201d.<\/p>\n

Happn no solo muestra cu\u00e1ntos metros te separan de otros usuarios, sino tambi\u00e9n el n\u00famero de pasos que han cruzado, facilitando todav\u00eda m\u00e1s el seguimiento de un usuario. Esa es, en realidad, la funci\u00f3n principal de la aplicaci\u00f3n, y no nos lo pod\u00edamos creer.<\/p>\n

3\u00aa amenaza. Transferencia desprotegida de datos<\/h3>\n

Muchas aplicaciones transfieren informaci\u00f3n al servidor mediante un canal cifrado con SSL, pero hay excepciones.<\/p>\n

Como han averiguado nuestros investigadores, una de las aplicaciones m\u00e1s inseguras en este sentido es Mamba. El m\u00f3dulo de an\u00e1lisis empleado en la versi\u00f3n Android no cifra los datos sobre el dispositivo (modelo, n\u00famero de serie, etc) y la versi\u00f3n de iOS se conecta al servidor mediante HTTP y transfiere toda la informaci\u00f3n sin cifrarla (es decir, desprotegida), mensajes incluidos. Dicha informaci\u00f3n no es solo visible, sino tambi\u00e9n modificable. Por ejemplo, es posible que un tercero cambie un \u201c\u00bfQu\u00e9 tal?\u201d por una petici\u00f3n de dinero.<\/p>\n

Mamba no es la \u00fanica aplicaci\u00f3n que te permite manejar la cuenta de alguien a causa de una conexi\u00f3n insegura, Zoosk tambi\u00e9n. No obstante, nuestros investigadores pudieron interceptar la informaci\u00f3n de Zoosk solo al subir fotos o videos nuevos (y, tras nuestra notificaci\u00f3n, los desarrolladores lo solucionaron de inmediato).<\/p>\n

Tinder, Paktor y Bumble para Android, adem\u00e1s de Badoo para iOS tambi\u00e9n suben fotos mediante HTTP, lo que permite a un atacante averiguar qu\u00e9 perfiles visitan sus v\u00edctimas.<\/p>\n

Cuando uses la versi\u00f3n para Android de Paktor, Badoo y Zoosk, alguna informaci\u00f3n, como la del GPS y la del dispositivo, puede terminar en manos equivocadas.<\/p>\n

4\u00aa amenaza. Ataque man-in-the-middle<\/i><\/h3>\n

Casi todos los servidores de aplicaciones de citas online<\/i> usan el protocolo HTTPS, lo que significa que, comprobando el certificado de autenticidad, uno puede protegerse contra los ataques man-in-the-middle<\/i><\/a>, pues el tr\u00e1fico de la v\u00edctima pasa por un servidor falso durante su camino al servidor correcto. Los investigadores instalaron un certificado falso para averiguar si las aplicaciones comprobaban su autenticidad; en el caso de que no, estar\u00edan facilitando el espionaje del tr\u00e1fico de otras personas.<\/p>\n

Result\u00f3 que cinco de las nueve aplicaciones son vulnerables a los ataques man-in-the-middle<\/i> porque no verifican la autenticidad de los certificados. Adem\u00e1s, casi todas las aplicaciones obtienen autorizaci\u00f3n mediante Facebook, por lo que la falta de validaci\u00f3n del certificado puede conducir al robo de la clave de autorizaci\u00f3n temporal, es decir, los tokens, los cuales tienen una duraci\u00f3n de entre dos y tres semanas, tiempo durante el que los delincuentes tienen acceso a algunas de las redes sociales de la v\u00edctima, adem\u00e1s del acceso total al perfil de la aplicaci\u00f3n de citas.<\/p>\n

5\u00aa amenaza. Permisos de superusuario<\/h3>\n

A pesar de la exactitud de la informaci\u00f3n que almacena la aplicaci\u00f3n en el dispositivo, a esta se puede acceder con derechos de superusuario. Este punto solo afecta a dispositivos Android, ya que es raro que un malware<\/i> pueda obtener acceso root<\/i> en iOS.<\/p>\n

El resultado del an\u00e1lisis es poco alentador: ocho de las nueve aplicaciones para Android est\u00e1n listas para facilitar demasiada informaci\u00f3n a los ciberdelincuentes que dispongan de los derechos de superusuario. De por s\u00ed, los investigadores pod\u00edan conseguir los tokens de autorizaci\u00f3n para las redes sociales de casi todas las aplicaciones en cuesti\u00f3n. Las credenciales estaban cifradas, pero la clave de descifrado era f\u00e1cil de extraer de la propia activaci\u00f3n.<\/p>\n

Tinder, Bumble, OkCupid, Badoo, Happn y Paktor almacenan el historial de mensajes y las fotos de los usuarios junto con sus tokens, por lo que si se cuenta con derechos de superusuario, se puede acceder con facilidad a informaci\u00f3n confidencial.<\/p>\n

Conclusi\u00f3n<\/h3>\n

El estudio mostr\u00f3 que muchas aplicaciones de citas no tratan los datos de sus usuarios con la suficiente cautela. Esta no es raz\u00f3n para no usar dichos servicios, tan solo debes comprender los problemas y, cuando sea posible, minimizar los riesgos.<\/p>\n

Qu\u00e9 debes hacer:<\/h3>\n