Cortejando con hackers

Buscar algo en la red, ya sea una relación duradera o algo de una noche, lleva un tiempo siendo lo común. Las aplicaciones de citas ya son parte de nuestro día a día.

Para encontrar el compañero ideal, los usuarios de tales aplicaciones están dispuestos a revelar su nombre, ocupación, lugar de trabajo, adónde les gusta ir, y otros muchos aspectos. Las aplicaciones de citas suelen tener acceso a algún tipo de información íntima, como fotos desnudo. Pero ¿con cuánto cuidado manejan las aplicaciones esta información? La empresa de seguridad informática rusa Kaspersky Lab lo comprobó.

Sus expertos estudiaron las aplicaciones de citas más populares (Tinder, Bumble, OkCupid, Badoo, Mamba, Zoosk, Happn, WeChat, Paktor) e identificaron las principales amenazas para los usuarios. Ya informamos a los desarrolladores sobre todas las vulnerabilidades detectadas y, ahora que se publicó este artículo, ya se solucionaron algunas y otras muy pronto. No obstante, no todos los desarrolladores se han comprometido a parchear todos los fallos.

En conclusión: el estudio de Kaspersky Lab mostró que muchas aplicaciones de citas no tratan los datos de sus usuarios con la suficiente cautela. Esta no es razón para no usar dichos servicios, tan solo debes comprender los problemas y, cuando sea posible, minimizar los riesgos.

Primera amenaza

¿Quién eres?

Los investigadores de Kaspersky Lab descubrieron que cuatro de cada nueve aplicaciones investigadas permiten a los delincuentes potenciales saber quién se esconde detrás del nombre de usuario según los datos que este proporcione. Por ejemplo, Tinder, Happn y Bumble permiten que cualquiera vea el lugar de trabajo o de estudios de los usuarios. Mediante esta información, es posible encontrar sus cuentas en redes sociales y averiguar sus nombres reales. Happn, en particular, usa las cuentas de Facebook para el intercambio de datos con el servidor. Con un esfuerzo mínimo, cualquiera puede averiguar los nombres y apellidos de los usuarios de Happn y demás información de sus perfiles de Facebook.

Y si alguien intercepta el tráfico de un dispositivo personal que tenga instalado Paktor, le sorprenderá saber que puede ver la dirección de correo electrónico de otros usuarios de la aplicación.

Al parecer, es posible identificar a los usuarios de Happn y Paktor en otras redes sociales en cualquier momento, con 60 por ciento de éxito en Tinder y 50 por ciento en Bumble.

Segunda amenaza

¿Dónde estás?

Si alguien quiere conocer tu ubicación, seis de cada nueve aplicaciones permiten averiguarlo. Sólo OkCupid, Bumble y Badoo mantienen la ubicación de sus usuarios bajo llave. Todas las demás aplicaciones indican la distancia entre la persona que te interesa y tú. Al registrar la distancia entre los dos, es fácil determinar la localización exacta de la “presa”.

Happn no sólo muestra cuántos metros te separan de otros usuarios, sino también el número de pasos que han cruzado, facilitando todavía más el seguimiento de un usuario. Esa es, en realidad, la función principal de la aplicación, y no nos lo podíamos creer.

Tercera amenaza

Transferencia desprotegida de datos

Muchas aplicaciones transfieren información al servidor mediante un canal cifrado con SSL, pero hay excepciones. Como lo han averiguado los investigadores de Kaspersky Lab, una de las aplicaciones más inseguras en este sentido es Mamba. El módulo de análisis empleado en la versión Android no cifra los datos sobre el dispositivo (modelo, número de serie, etc) y la versión de iOS se conecta al servidor mediante HTTP y transfiere toda la información sin cifrarla (es decir, desprotegida), mensajes incluidos. Dicha información no es sólo visible, sino también modificable. Por ejemplo, es posible que un tercero cambie un “¿Qué tal?” por una petición de dinero.

Mamba no es la única aplicación que te permite manejar la cuenta de alguien a causa de una conexión insegura, Zoosk también. No obstante, nuestros investigadores pudieron interceptar la información de Zoosk al subir fotos o videos nuevos (y, tras la notificación de Kaspersky Lab, los desarrolladores lo solucionaron de inmediato).

Tinder, Paktor y Bumble para Android, además de Badoo para iOS también suben fotos mediante HTTP, lo que permite a un atacante averiguar qué perfiles visitan sus víctimas.

Cuando uses la versión para Android de Paktor, Badoo y Zoosk, alguna información, como la del GPS y la del dispositivo, puede terminar en manos equivocadas.

Cuarta amenaza

Ataque man-in-the-middle

Casi todos los servidores de aplicaciones de citas online usan el protocolo HTTPS, lo que significa que, comprobando el certificado de autenticidad, uno puede protegerse contra los ataques man-in-the-middle, pues el tráfico de la víctima pasa por un servidor falso durante su camino al servidor correcto. Los investigadores instalaron un certificado falso para averiguar si las aplicaciones comprobaban su autenticidad; en el caso de que no, estarían facilitando el espionaje del tráfico de otras personas.

Resultó que cinco de las nueve aplicaciones son vulnerables a los ataques man-in-the-middle porque no verifican la autenticidad de los certificados. Además, casi todas las aplicaciones obtienen autorización mediante Facebook, por lo que la falta de validación del certificado puede conducir al robo de la clave de autorización temporal, es decir, los tokens, los cuales tienen una duración de entre dos y tres semanas, tiempo durante el que los delincuentes tienen acceso a algunas de las redes sociales de la víctima, además del acceso total al perfil de la aplicación de citas.

Quinta amenaza

Permisos de superusuario

A pesar de la exactitud de la información que almacena la aplicación en el dispositivo, a esta se puede acceder con derechos de superusuario. Este punto únicamente afecta a dispositivos Android, ya que es raro que un malware pueda obtener acceso root en iOS.

El resultado del análisis es poco alentador: ocho de las nueve aplicaciones para Android están listas para facilitar demasiada información a los ciberdelincuentes que dispongan de los derechos de superusuario. De por sí, los investigadores podían conseguir los tokens de autorización para las redes sociales de casi todas las aplicaciones en cuestión. Las credenciales estaban cifradas, pero la clave de descifrado era fácil de extraer de la propia activación. Tinder, Bumble, OkCupid, Badoo, Happn y Paktor almacenan el historial de mensajes y las fotos de los usuarios junto con sus tokens, por lo que si se cuenta con derechos de superusuario, se puede acceder con facilidad a información confidencial.

¿Qué debes hacer?

Usa una VPN

Instala soluciones de seguridad en todos tus dispositivos

Comparte información con extraños solo cuando sea necesario

¿Qué no debes hacer?

No añadas tus redes sociales en el perfil público de una aplicación de citas, ni des tu nombre real, ni tampoco tu lugar de trabajo

No des tu dirección de e-mail, ya sea personal o laboral

No uses webs de citas si estás conectado a redes wifi desprotegidas

“Nuestra investigación demuestra que los usuarios de aplicaciones de citas deberían preocuparse por la seguridad cibernética, ya que muchos de estos servicios no están protegidos contra diferentes tipos de ataques”

Roman Unuchek, experto en seguridad para Kaspersky Lab

Relaciones peligrosas

Los investigadores de Kaspersky Lab han descubierto una serie de vulnerabilidades contenidas en aplicaciones populares de citas que tienen el potencial de generar consecuencias negativas para los usuarios: desde identificar a una persona en particular, hasta transmisiones de datos inseguras y filtración de información personal.

Las aplicaciones para citas se están volviendo cada vez más populares en todo el mundo. Según el más reciente informe Relaciones peligrosas: ¿todos lo hacen en línea?, una de cada tres personas utiliza actualmente un servicio de citas en línea.

Esta investigación reveló que los usuarios enfrentan varios riesgos al usar aplicaciones de citas en línea. Por ejemplo, se les puede identificar al averiguar sus nombres y apellidos en los perfiles incluidos en las redes sociales y también se les puede encontrar en el mundo físico mediante el uso de datos de geolocalización. Además de eso, pueden perder el acceso a sus cuentas o encontrar que sus datos personales han caído en manos equivocadas.

Los expertos han descubierto un riesgo de seguridad común que está presente en varias aplicaciones y se refiere al método de autenticación basado en tokens que utilizan las apps de citas para los procesos de inscripción y acceso.

Los usuarios también pueden enfrentar otra amenaza relacionada con la seguridad de los historiales de mensajes que se almacenan en el dispositivo y que los intrusos pueden acceder y leer.

Asimismo, los usuarios de seis de las aplicaciones analizadas pueden ser detectados por su ubicación. Esto proporciona a los hackers oportunidades de interceptar estas comunicaciones, que a menudo contienen información personal como la ubicación del usuario, perfiles visitados, mensajes, datos del dispositivo, entre otras. Redacción

FV/I