11º-20º
miércoles | 2 abril | 2025
Una investigación reciente ha revelado que cerca de 1,5 millones de fotografías de usuarios de aplicaciones de citas especializadas, muchas de ellas de contenido explícito, se encontraban almacenadas en línea sin protección de contraseña, dejándolas vulnerables a ataques de hackers y extorsiones.
Cinco plataformas desarrolladas por M.A.D Mobile, incluyendo las aplicaciones de citas BDSM People y Chica (para encuentros con "sugar daddies"), así como las aplicaciones LGBT Pink, Brish y Translove, permitían el acceso a estas imágenes privadas a cualquiera que tuviera el enlace correspondiente. Se estima que entre 800.000 y 900.000 personas utilizan estos servicios.
M.A.D Mobile fue alertada por primera vez sobre esta vulnerabilidad de seguridad el 20 de enero, pero no tomó medidas hasta la semana pasada, después de que la cadena británica BBC les preguntase por este agujero. Desde entonces, la empresa ha solucionado el problema, aunque no ha explicado cómo ocurrió ni por qué no protegió las imágenes sensibles desde un principio.
Un hacker ético, Aras Nazarovas de Cybernews, fue quien descubrió la ubicación del almacenamiento en línea utilizado por las aplicaciones al analizar el código que las sustenta. Se sorprendió al encontrar que podía acceder a las fotos sin cifrar y sin contraseña.
"La primera aplicación que investigué fue BDSM People, y la primera imagen en la carpeta era la de un hombre desnudo de unos treinta años", relató. "En cuanto la vi, me di cuenta de que esta carpeta no debería haber sido pública".
Las imágenes no se limitaban a las de los perfiles; también incluían fotos enviadas de forma privada en mensajes e incluso algunas que habían sido eliminadas por los moderadores.
Nazarovas advirtió que el descubrimiento de material sensible sin protección conlleva un riesgo significativo para los usuarios de las plataformas. Los hackers malintencionados podrían haber accedido a las imágenes y extorsionado a las personas. Además, existe un riesgo para aquellos que viven en países hostiles a las personas LGBT.
Aunque no se encontró contenido textual de mensajes privados almacenado de esta manera, y las imágenes no estaban etiquetadas con nombres de usuario o nombres reales, el riesgo de ataques dirigidos seguía siendo latente.
En un correo electrónico, M.A.D Mobile dio las gracias al investigador por descubrir la vulnerabilidad y evitar una posible filtración de datos. "Agradecemos su trabajo y ya hemos tomado las medidas necesarias para solucionar el problema", declaró un portavoz de M.A.D Mobile. "En los próximos días se lanzará una actualización adicional para las aplicaciones en la App Store".
La empresa no ha respondido a preguntas adicionales sobre su ubicación ni sobre por qué tardó meses en abordar el problema después de múltiples advertencias de los investigadores.
Normalmente, los especialistas de seguridad esperan a que se corrija una vulnerabilidad antes de publicar un informe en línea, para evitar poner a los usuarios en mayor riesgo de ataque. Sin embargo, Nazarovas y su equipo decidieron dar la alarma el pasado jueves, mientras el problema aún estaba activo, debido a su preocupación de que la empresa no estuviera tomando medidas para solucionarlo. "Siempre es una decisión difícil, pero creemos que el público necesita saberlo para protegerse", explicó.
Este incidente recuerda a la filtración masiva de datos de usuarios de Ashley Madison en 2015, una página de citas para personas casadas que buscaban ser infieles.
