#MundoHacker: 4 formas con las que las apps de ligue exponen nuestros datos

tinder match

Reconozco que me había perdido este mundillo. Es lo que tiene tener pareja.

Pero aprovechando la soltería me dio hace unos meses por empezar a investigarlo, y la verdad es que de este tipo de aplicaciones se puede sacar verdadero oro.

Parte de esa investigación ya la plasmé en su día en la pieza “El doble rasero de Tinder: apuntes sobre la evolución de las relaciones“, en el que profundizo, estudios en mano, en cómo el surgimiento de este tipo de aplicaciones está modificando sutilmente la conducta social de nuestra época hasta el punto de generar sociedades más heterogéneas y romper con la dependencia, hasta ahora casi absoluta, de los círculos vecinales.

La pieza estaba centrada, por tanto, en el factor socidemográfico de estos servicios, y no tanto en la tecnología (y las maldades que de ella se desprende). Me lo habíais pedido bastante últimamente, así que por aquí va un artículo un poco más técnico sobre algunas de las formas que se me ocurren de obtener información de los usuarios, así como las medidas que podemos tomar para minimizar en lo posible este riesgo.

¡Vamos al lío!

Cuatro maneras de obtener información de usuarios de apps de contactos

Y como no podría ser de otra manera, lo hago apoyándome en estudios ya contrastados. En este caso, uno de los chicos de Kaspersky (EN), que han analizado al detalle el funcionamiento de las aplicaciones de Tinder (Android y iOS), Bumble (Android y iOS), OK Cupid (Android y iOS), Badoo (Android y iOS), Mamba (Android y iOS), Zoosk (Android y iOS), Happn (Android y iOS), WeChat (Android y iOS, y sí, también se usa para esto) y Paktor (Android y iOS).

Es probable que muchas no le suenen. A un servidor le pasa lo mismo, pero es que el sector está en pleno auge y según el mercado hay servicios mejor o peor posicionados.

Por cómo funcionan, es posible exponer la identidad del usuario de varias maneras:

OSINT

La primera parada es más que esperable. Mediante la búsqueda de datos en fuentes abiertas es quizás el acercamiento más sencillo (y a veces, el más útil) que podemos utilizar para obtener información de una persona.

Y ya he tratado este tema en muuuchas ocasiones, así que tampoco voy a volver a repetirme. Desde la ya clásica “¿Qué datos se pueden obtener de una persona en Internet?“, pasando por “¿Qué datos se pueden obtener de un selfie?” y otras cuantas más específicas.

Con lo que quiero que se quede es que en aplicaciones como Tinder, Happn y Bumble, al ser posible incluir en la descripción información sobre estudios/trabajo, se facilitan mucho las cosas:

  • Basta una búsqueda rápida por Google para acabar encontrando algún enlace a una cuenta de Facebook o LinkedIn (en el 60% de los casos, según Kaspersky). De ahí obtenemos nombre y apellidos, y con eso ya vamos tirando.
  • Otra opción, por supuesto, sería realizar una búsqueda con las fotos de perfil que tenga ese usuario en Google Images. Si ha utilizado la misma en otras páginas (algo muy habitual) lo mismo obtenemos algún rastro extra para expandir la información que tenemos disponible.

¿Qué podemos hacer para protegernos de esto?

Sobra decir que para evitar que esto nos pase factura a nosotros, la idea es dar mientras menos información sensible posible mejor:

  • Fotografías que no hayamos utilizado en ningún otro sitio.
  • Definir los estudios o el puesto sin dar nombres de universidades o compañías.
  • Tergiversar sutilmente la información (que no mentir), como puede ser acompañar el nombre por una letra que realmente no corresponde a nuestro apellido.
  • Si nos es posible, utilizar un segundo número de teléfono para identificarnos en estos servicios.
  • No asociar nuestro perfil a otra cuenta digital (es muy habitual, por ejemplo, que los usuarios de Tinder asocien su cuenta a la de Facebook o Instagram), ni siquiera a la hora de creárnoslo (vale más utilizar un correo distinto al habitual para loguearse que tirar de la API de Google, Facebook, Twitter y compañía).

Se minimizan así las posibilidades de éxito de un posible scraper, pero por supuesto siguen estando ahí. Habrá que valorar si queremos o no correr el riesgo.

Triangulación de localizaciones

Por norma general estas aplicaciones funcionan mediante el paradigma de la localización. Es decir, te sugieren perfiles que se ajustan a tus gustos y que se encuentran en un radio específico en derredor nuestro.

Y esto puede ser utilizado para localizar usuarios, habida cuenta de que cuando ambos os matcheáis, podréis ver en todo momento qué distancia os separa.

Sobra decir que es un trabajo muy tedioso, pero en teoría, podríamos acabar dando con el domicilio de una persona con un margen de error de quizás una o dos calles, en base a colocarse en un lado, ver la distancia en kilómetros que nos separa, e ir cambiando de posición. Afortunadamente este dato no se actualiza en tiempo real, por lo que en la práctica sería mucho más pesado de realizar, pero posible es.

Las aplicaciones más vulnerables a este tipo de ataques son Tinder, Mamba, Zoosk, Happn, WeChat y Paktor, que son las que operan mediante localización vía sensor móvil.

¿Qué podemos hacer para protegernos de esto?

Bajo mi humilde opinión la mejor medida de protección es que eliminemos todos aquellos perfiles que no nos hayan interesado, con los que ya estemos en contacto por otros canales, o que no han llegado a ningún término.

Es absurdo, además de peligroso, mantener ese listado de matches del que algunos se vanaglorian, habida cuenta de que hablamos de perfiles que podrían en cualquier momento saber a qué distancia estamos.

La duda que me queda es comprobar si, cuando tienes tu perfil oculto, alguien que te haya dado match puede seguir viendo dónde estás. Un servidor hace tiempo que lo tiene así, y la verdad que es un dato que me gustaría conocer.

Como medida no tan radical, por supuesto, está el hecho de utilizar estas plataformas únicamente fuera de casa, y mantener los servicios de localización desconectados siempre que estemos en ella o en sus cercanías.

MITM

¿Ya tardaba en salir, eh? Los ataques de Man in The Middle son aún posibles en algunas de estas aplicaciones. En el estudio hacen mención a Mamba, donde al parecer los datos de entrada y salida desde la app se envían sin cifrado.

Y por tanto, alguien conectado a nuestra misma red (por ejemplo, una WiFi pública) podría estar leyendo en texto plano todo lo que enviamos, pudiendo incluso modificar esos mensajes y hacerse con el control de la cuenta (robo de credenciales de acceso).

¿Qué podemos hacer para protegernos de esto?

A ver si lo adivina…

¡Exacto! No conectarse a redes públicas a no ser que contemos con una buena VPN activa en nuestro terminal. Que vale que nos puede pasar también en casa, pero ya presupongo que como mínimo hemos llevado a cabo unas medidas de seguridad mínimas en el router que tenemos en nuestro hogar.

Y esto compete a las aplicaciones de contacto, pero en definitiva a cualquier conexión que vayamos a hacer.

En serio, no salgáis de casa sin tener contratado un servicio fiable de VPN (ES). Es algo que deberían enseñar en primero de parvulario :D.

Caché móvil

El cuarto y último ataque que se podría realizar en este tipo de aplicaciones viene dado por el abuso de la caché del dispositivo de la víctima:

  • Si conseguimos escalar privilegios dentro del sistema operativo, podríamos hacernos con los tokens de autorización para usurparle la identidad.
  • Si podemos acceder a la carpeta de caché de la aplicación, podríamos descargarnos la base de datos donde estará el historial de mensajes enviados y recibidos por ese usuario.

¿Qué podemos hacer para protegernos de esto?

Hablamos o bien de un ataque masivo, o bien de un ataque dirigido hacia nuestra persona, que quizás se acabe más tarde monetizando mediante campañas de ingeniería social y posibles extorsiones que de ello se puedan desprender (gente casada que anda haciendo lo que no debe por ahí, perfiles públicos con gustos sexuales un tanto curiosos, amenaza de publicación de fotos íntimas…).

En el primer caso, los dobles factores de autenticación, el tener el dispositivo actualizado, el no rootear/jailbreakear el terminal y el mantener bloqueado por defecto la instalación de aplicaciones fuera del market oficial son, a grosso modo, algunas medidas básicas que minimizan el riesgo.

En el segundo caso la cosa está más complicada. Si el atacante tiene los suficientes recursos e información nuestra es probable que consiga de alguna manera acabar comprometiendo nuestro dispositivo, y con él, accediendo a esa información. De ahí la importancia de ser consciente de nuestra presencia digital, y en caso de que ésta tenga un carácter público que pudiera interesar a potenciales criminales, tomar medidas más avanzadas para proteger nuestros activos.

Estos son los cuatro métodos para exponer información en aplicaciones de ligoteo. De menor a mayor dificultad.

¿Se le ocurre alguna más? No dude en exponerla en comentarios :).

 

________

Puede ver más artículos de esta serie en #MundoHacker, donde tratamos en varios tutoriales las medidas para atacar y/o defenderse en el mundo digital.

Y si el contenido que realizo le sirve en su día a día, piense si merece la pena invitarme a lo que vale un café, aunque sea digitalmente.

hazme patrono pabloyglesias