Expertos españoles de ElevenPaths, la unidad de ciberseguridad del Grupo Telefónica, han desarrollado una herramienta capaz de seguir los pasos de un usuario de Tinder y mostrarlos de forma detallada sobre un mapa. El espía solo tiene que conocer algún detalle sobre su objetivo para buscarlo entre los muchos perfiles de la aplicación de ligue: su edad, su ciudad de residencia, su nombre de pila... Cualquier cosa que le permita identificarlo al realizar una búsqueda en Drone-Tinder, que es como han bautizado este proyecto de investigación cuyo objetivo es advertir a la empresa y a sus usuarios de los riesgos en materia de privacidad que entraña la 'app'.
El peligro es evidente. No solo un posible acosador podría vigilar a su víctima como si de un dron invisible se tratara (tal vez adivinaría dónde vive, dónde trabaja o dónde estudia), sino que además podría hacerse con las fotos que ha escogido para su perfil de Tinder e incluso averiguar cuáles son sus cuentas en otras redes sociales.
Tinder usa el GPS del móvil para averiguar tu localización. Cuando te conectas, la 'app' envía al servidor ese dato para que pueda emparejarte con perfiles que estén a la distancia máxima que hayas seleccionado previamente. Esa misma mecánica es la que los investigadores aprovechan para practicar un espionaje relativamente sencillo: mediante un 'bot' que hace las veces de usuario y se encarga del trabajo pesado, preguntan constantemente al servidor de la 'app' dónde se encuentran los usuarios y cambian la ubicación propia con facilidad.
Precisamente, lo primero que Julio García, el ingeniero de telecomunicaciones que puso en marcha este proyecto, y sus compañeros de ElevenPaths descubrieron es que podían engañar a Tinder para que creyera que estaban en cualquier parte, aunque fuera mentira. Tan pronto le decían que el perfil del 'bot' estaba en Madrid como al minuto siguiente le colaba que se había trasladado a Pekín.
“Eso es el primer fallo de seguridad”, explica García. A su juicio, Tinder debería saber que “una persona no se puede mover tan rápido” y concluir, si así sucede, “que te están atacando de alguna forma, al final extrayendo información de tu servidor”.
Moverse de una punta a otra del mundo permite al 'bot' de Julio comprobar qué personas están usando la 'app' en un lugar determinado y poner la lista a disposición del espía humano para que localice a la persona que le interesa. Tendrá un montón de datos con los que afinar su búsqueda: dónde hizo la última conexión, su nombre de usuario, su edad, los sitios donde trabaja o ha estudiado (que suelen indicarse en el perfil) y hasta sus fotos.
“En el momento en el que tú tienes tu cuenta [de Tinder], todas las fotos son públicas”, explica García. “Las coge de tu Facebook, las descarga y las mete en un servidor, totalmente públicas”. Incluso se podría acceder al perfil de Instagram del objetivo, con aún más imágenes, si lo tuviera vinculado. Y si además su nombre de usuario en esta red social es el mismo que utiliza en otras, la información personal a la que tiene acceso el espía crece.
Ligar con cabeza
García ha mostrado sobre un callejero cómo funciona Drone-Tinder, una herramienta de investigación que no han hecho accesible al público. A través de líneas rectas se van uniendo círculos con una cifra en su interior: son los lugares donde los usuarios se han conectado por última vez y el número de veces que lo han hecho. Las líneas muestran el desplazamiento entre uno y otro punto. Si hay círculos con una cifra muy grande, se puede concluir que ese lugar es la residencia de la víctima, su lugar de trabajo, su centro de estudios o incluso el barrio por donde suele salir de fiesta.
Para mejorar Tinder y evitar que los malintencionados 'bots' puedan hacer de las suyas, el ingeniero sugiere algunas medidas de seguridad, como pedir que se completen 'captchas' (en teoría imposibles de resolver para las máquinas) para seguir viendo perfiles con los que conectar. También, que el servidor comience a sospechar cuando recibe un montón de peticiones o cuando, como ya se ha explicado, vea que el supuesto usuario cambia de ubicación constantemente.
No es la primera vez que la seguridad de Tinder se pone en entredicho. El pasado año, sin ir más lejos, se denunciaron los 'bots' que son capaces de operar como perfiles muy humanos y que, tras un rato de conversación (en la que, eso sí, no son capaces de responder a preguntas complejas), comparten un enlace malicioso, probablemente para perpetrar un ataque de 'phishing'.
“Con cualquier aplicación que juegue con tu posición GPS y que al final se base en un servidor”, que intercambia mensajes con tu móvil, “no te puedes fiar de las peticiones que te están llegando”, concluye García. La mejor recomendación para el usuario es tener desactivado el GPS y la localización cuando no hagan falta y, por supuesto, ligar con cabeza.
---------------------
Las imágenes son propiedad, por orden de aparición, de Pexels, YouTube, Michael Coghlan y Denis Bocquet