Los investigadores de Kaspersky Lab han descubierto una serie de vulnerabilidades contenidas en aplicaciones populares de citas que tienen el potencial de generar consecuencias negativas para los usuarios: desde identificar a una persona en particular, hasta transmisiones de datos inseguras y filtración de información personal. Después de analizar nueve populares servicios globales, se descubrió que algunos de ellos proporcionan niveles muy bajos de protección de datos.
Las aplicaciones para citas se están volviendo cada vez más populares en todo el mundo. Según el más reciente informe «Relaciones peligrosas: ¿todos lo hacen en línea?», una de cada tres personas utiliza actualmente un servicio de citas en línea. Pero con la creciente popularidad de estos servicios surge un importante problema de seguridad, ya que la mayoría de los servicios de citas requiere que los usuarios compartan información personal. Con esto en mente, un equipo de investigadores de Kaspersky Lab decidió examinar qué tan seguros son estos sitios en realidad. Los analistas llevaron a cabo análisis detallados de las aplicaciones de citas más populares en diferentes regiones del mundo, en busca de diversas vulnerabilidades que podrían afectar la vida real de los usuarios y cambiar su condición de «buscadores de citas» a «víctimas».
Esta investigación reveló que los usuarios enfrentan varios riesgos al usar aplicaciones de citas en línea. Por ejemplo, se les puede identificar al averiguar sus nombres y apellidos en los perfiles incluidos en las redes sociales y también se les puede encontrar en el mundo físico mediante el uso de datos de geolocalización. Además de eso, pueden perder el acceso a sus cuentas o encontrar que sus datos personales han caído en manos equivocadas.
Los expertos han descubierto un riesgo de seguridad común que está presente en varias aplicaciones, y se refiere al método de autenticación basado en tokens que utilizan las apps de citas para los procesos de inscripción y acceso. En este método, se crea un token a petición de un servidor, con el fin de identificar de forma única al usuario y, por lo general, se solicita acceso a una cuenta de Facebook. Posteriormente, se proporciona acceso a la información general del usuario, incluidos nombres y apellidos, dirección de correo electrónico y foto que figura en el perfil. Al usar este método, las aplicaciones reciben todos los datos necesarios para verificar al usuario en sus servidores. Sin embargo, la investigación muestra que los tokens se almacenan o se utilizan con frecuencia de forma insegura y, por lo tanto, pueden robarse fácilmente. Como resultado, los intrusos pueden obtener acceso temporal a las cuentas de las víctimas, incluso sin sus datos de inicio de sesión y contraseña.
Además de esta vulnerabilidad en el almacenamiento inseguro de tokens, los usuarios también pueden enfrentar otra amenaza relacionada con la seguridad de los historiales de mensajes que se almacenan en el dispositivo y que los intrusos pueden acceder y leer. Tales ataques son una amenaza particular para los usuarios de los dispositivos Android. Algunos de estos, como los que tienen el software desactualizado, tienen vulnerabilidades abiertas que permiten a los atacantes obtener acceso raíz al dispositivo; por lo que se puede usar para obtener acceso a información privada, incluida la actividad del usuario en las aplicaciones de citas, como son los mensajes que se han escrito y las fotos que se han visto.
Asimismo, los usuarios de seis de las aplicaciones analizadas pueden ser detectados por su ubicación. En algunas de las aplicaciones, Kaspersky Lab también identificó riesgos en el proceso de transmisión de datos. Aunque la mayoría de las aplicaciones utilizan SSL (Secure Sockets Layer) para asegurar la comunicación con los servidores, algunos datos se envían a través del protocolo HTTP y no se cifran. Esto proporciona a los hackers oportunidades de interceptar estas comunicaciones, que a menudo contienen información personal como la ubicación del usuario, perfiles visitados, mensajes, datos del dispositivo, entre otras. Al utilizar una conexión insegura, los intrusos también pueden controlar la cuenta de la víctima.
«Nuestra investigación demuestra que los usuarios de aplicaciones de citas deberían preocuparse por la seguridad cibernética, ya que muchos de estos servicios no están protegidos contra diferentes tipos de ataques. Además de esto, los usuarios se ponen en riesgo al compartir información personal confidencial en sus perfiles, como el lugar donde estudiaron y donde trabajan”, comenta Roman Unuchek, experto en seguridad para Kaspersky Lab. “Armados con estos datos, los intrusos pueden encontrar fácilmente las cuentas reales de las víctimas en Facebook y LinkedIn. Esto también abre posibilidades para el acoso, como hostigar y rastrear movimientos en la vida real. Por lo tanto, los usuarios deben asegurarse de supervisar cuidadosamente su privacidad, así como la seguridad y protección de sus datos cuando utilizan servicios de citas en línea».
Para evitar que le roben sus datos, Kaspersky Lab les recomienda a los usuarios lo siguiente:
- Evitar los puntos de acceso Wi-Fi públicos que ofrecen protección limitada.
- Use una VPN para garantizar una conexión segura.
- No compartir información confidencial de identificación, como lugar donde estudia, trabaja, entre otras.
- Instalar una solución de seguridad confiable en su dispositivo, como Kaspersky Internet Security para Android.
Para obtener más información sobre las vulnerabilidades de las aplicaciones de citas, por favor lea nuestro reporte completo en https://securelist.lat/dangerous-liaisons/85578/
