Dos ingenieros españoles descubren un error que permitía localizar a los usuarios de Tinder
El fallo revelaba la ubicación exacta de las personas que se daban 'match'. La posición se actualizaba cuando abrían la 'app'
"Oriol, Tinder me está dando tu localización exacta: sé que estás en el comedor de tu casa". El ingeniero informático Marc Pratllusà no podía ocultar la sorpresa cuando descubrió que esta aplicación le estaba dando las coordenadas exactas de donde se encontraba Oriol Martínez, también ingeniero informático especializado en seguridad. Pratllusà, experto en programación, no es hacker y ni siquiera necesitó entrar a los servidores de Tinder para conseguir esa información: fue más sencillo que todo eso. Un error en el diseño de la aplicación permitía —si se tienen unos mínimos conocimientos sobre informática— conocer la latitud y longitud en la que se encontraban cada una de las personas con las que habías conectado a través de la app.
Tinder ignoró el fallo durante tres meses y lo arregló sin avisar este martes
Esta aplicación para ligar ofrece a los usuarios varias fotografías de personas que se encuentran a una distancia determinada —que el usuario puede establecer—; cuando ambas personas se dan 'me gusta' a sus respectivas fotos, se produce un match (emparejamiento). Y cuando esto ocurría, cada una de estas personas podía ser capaz de ver la localización exacta del otro. Así, con los miles, millones de matches que se producen al día. Así, incluso aunque luego bloquearas al usuario. Así, hasta el martes cuando el error se solucionó sin avisos ni cambios aparentes en la aplicación.
Uno de los factores que más preocupaba a estos dos ingenieros españoles es que la localización se actualizaba cada vez que el usuario abría la aplicación en un lugar diferente. "Tenías que haberte movido dos kilómetros con respecto a la anterior localización para que apareciera la nueva", explica Martínez. Cuando se dieron cuenta de que las coordenadas que aparecían en su sistema variaban con el paso de las horas, decidieron hacer una prueba. Martínez estuvo durante un día moviéndose por Barcelona y alrededores. Abrió la aplicación seis veces, en seis lugares diferentes. Pratllusà estaba enfrente del ordenador. No le hacía falta salir de casa. "Le podía tener controlado, sabía que a las 12:01 estaba saliendo de Mollet del Vallès y que a las 12:21 estaba entrando en Granollers".
Tinder ha rechazado hacer comentarios sobre el fallo de diseño. "La privacidad y seguridad de nuestros usuarios es nuestra prioridad. No comentamos ninguna vulnerabilidad específica que podamos descubrir para protegerlos", ha señalado la empresa a EL PAÍS. La respuesta de la empresa no difiere mucho de la que le dio a los ingenieros cuando le informaron del problema hace tres meses. "Fue una respuesta automática Thanks for your feedback. Casi tres meses después no habían realizado ningún cambio, hasta que lo hemos publicado y vosotros os habéis puesto en contacto con ellos", explican.
Martínez y Pratllusà descubrieron el error casi por casualidad. Marc estaba preparando en mayo una aplicación para buscar vuelos y estaba fijándose en grandes apps para ver cómo estaban diseñadas. "Habíamos revisado ya Facebook, Spotify, Wallapop... y probamos también con Tinder", señala. Estudiando el diseño se dio cuenta de que estaba enviando información no necesaria para su funcionamiento. "Es cierto que es una aplicación que necesita saber tu localización para poder enseñarte nuevos usuarios, pero la debería dar en distancia, no en coordenadas", describe Pratllusà.
Para poder leer esta información, los dos ingenieros solo tuvieron que instalar un proxy entre los servidores de Tinder y el móvil. Este elemento, que está situado en el medio, puede leer la información que la aplicación envía al terminal del usuario. "Saber colocar un proxy es algo sencillo, lo podría hacer alguien que todavía no hubiera ni terminado la ingeniería. Basta con tener algunos conocimientos sobre el funcionamiento de las aplicaciones con sus servidores", añade Martínez.
No sabemos cuánto tiempo ha estado así, podemos confirmar tres meses, pero sospechamos que mucho más tiempo
Cuando colocaron el proxy y vieron que había algo que no cuadraba, decidieron crearse un par de perfiles falsos en Tinder para que otros usuarios pudieran darle match y comprobar si lo que aparecía en su sistema funcionaba con cualquier tipo de usuario. Y así fue. Si desde la aplicación en su móvil tenían un match con algún usuario, podían analizar la información y ver exactamente la localización de esa persona. "Nos parecía algo muy grave. No sabemos cuánto tiempo ha estado así, podemos confirmar tres meses, pero sospechamos que mucho más tiempo".
Tu suscripción se está usando en otro dispositivo
¿Quieres añadir otro usuario a tu suscripción?
Si continúas leyendo en este dispositivo, no se podrá leer en el otro.
FlechaTu suscripción se está usando en otro dispositivo y solo puedes acceder a EL PAÍS desde un dispositivo a la vez.
Si quieres compartir tu cuenta, cambia tu suscripción a la modalidad Premium, así podrás añadir otro usuario. Cada uno accederá con su propia cuenta de email, lo que os permitirá personalizar vuestra experiencia en EL PAÍS.
En el caso de no saber quién está usando tu cuenta, te recomendamos cambiar tu contraseña aquí.
Si decides continuar compartiendo tu cuenta, este mensaje se mostrará en tu dispositivo y en el de la otra persona que está usando tu cuenta de forma indefinida, afectando a tu experiencia de lectura. Puedes consultar aquí los términos y condiciones de la suscripción digital.