_
_
_
_
Tecnología
_
Tinder

Dos ingenieros españoles descubren un error que permitía localizar a los usuarios de Tinder

El fallo revelaba la ubicación exacta de las personas que se daban 'match'. La posición se actualizaba cuando abrían la 'app'

Un usuario da 'me gusta' en la aplicación de ligar Tinder.Foto: reuters_live | Vídeo: QUALITY
Beatriz Guillén
Beatriz Guillén
Facebook
Twitter
Linkedin
Copiar enlace
Más información
Spanish engineers find Tinder flaw that reveals users’ location

"Oriol, Tinder me está dando tu localización exacta: sé que estás en el comedor de tu casa". El ingeniero informático Marc Pratllusà no podía ocultar la sorpresa cuando descubrió que esta aplicación le estaba dando las coordenadas exactas de donde se encontraba Oriol Martínez, también ingeniero informático especializado en seguridad. Pratllusà, experto en programación, no es hacker y ni siquiera necesitó entrar a los servidores de Tinder para conseguir esa información: fue más sencillo que todo eso. Un error en el diseño de la aplicación permitía —si se tienen unos mínimos conocimientos sobre informática— conocer la latitud y longitud en la que se encontraban cada una de las personas con las que habías conectado a través de la app.

Tinder ignoró el fallo durante tres meses y lo arregló sin avisar este martes

Esta aplicación para ligar ofrece a los usuarios varias fotografías de personas que se encuentran a una distancia determinada —que el usuario puede establecer—; cuando ambas personas se dan 'me gusta' a sus respectivas fotos, se produce un match (emparejamiento). Y cuando esto ocurría, cada una de estas personas podía ser capaz de ver la localización exacta del otro. Así, con los miles, millones de matches que se producen al día. Así, incluso aunque luego bloquearas al usuario. Así, hasta el martes cuando el error se solucionó sin avisos ni cambios aparentes en la aplicación. 

Uno de los factores que más preocupaba a estos dos ingenieros españoles es que la localización se actualizaba cada vez que el usuario abría la aplicación en un lugar diferente. "Tenías que haberte movido dos kilómetros con respecto a la anterior localización para que apareciera la nueva", explica Martínez. Cuando se dieron cuenta de que las coordenadas que aparecían en su sistema variaban con el paso de las horas, decidieron hacer una prueba. Martínez estuvo durante un día moviéndose por Barcelona y alrededores. Abrió la aplicación seis veces, en seis lugares diferentes. Pratllusà estaba enfrente del ordenador. No le hacía falta salir de casa. "Le podía tener controlado, sabía que a las 12:01 estaba saliendo de Mollet del Vallès y que a las 12:21 estaba entrando en Granollers". 

Mapa elaborado por los dos ingenieros españoles que muestra los lugares exactos en los que estuvo un usuario de Tinder a lo largo de un día.
Mapa elaborado por los dos ingenieros españoles que muestra los lugares exactos en los que estuvo un usuario de Tinder a lo largo de un día.

Tinder ha rechazado hacer comentarios sobre el fallo de diseño. "La privacidad y seguridad de nuestros usuarios es nuestra prioridad. No comentamos ninguna vulnerabilidad específica que podamos descubrir para protegerlos", ha señalado la empresa a EL PAÍS. La respuesta de la empresa no difiere mucho de la que le dio a los ingenieros cuando le informaron del problema hace tres meses. "Fue una respuesta automática Thanks for your feedback. Casi tres meses después no habían realizado ningún cambio, hasta que lo hemos publicado y vosotros os habéis puesto en contacto con ellos", explican.

Localización de una usuaria, con las coordenadas exactas, que permitía la aplicación de Tinder.
Localización de una usuaria, con las coordenadas exactas, que permitía la aplicación de Tinder.MARC PRATLLUSÀ / ORIOL MARTÍNEZ

Martínez y Pratllusà descubrieron el error casi por casualidad. Marc estaba preparando en mayo una aplicación para buscar vuelos y estaba fijándose en grandes apps para ver cómo estaban diseñadas. "Habíamos revisado ya Facebook, Spotify, Wallapop... y probamos también con Tinder", señala. Estudiando el diseño se dio cuenta de que estaba enviando información no necesaria para su funcionamiento. "Es cierto que es una aplicación que necesita saber tu localización para poder enseñarte nuevos usuarios, pero la debería dar en distancia, no en coordenadas", describe Pratllusà. 

Para poder leer esta información, los dos ingenieros solo tuvieron que instalar un proxy entre los servidores de Tinder y el móvil. Este elemento, que está situado en el medio, puede leer la información que la aplicación envía al terminal del usuario. "Saber colocar un proxy es algo sencillo, lo podría hacer alguien que todavía no hubiera ni terminado la ingeniería. Basta con tener algunos conocimientos sobre el funcionamiento de las aplicaciones con sus servidores", añade Martínez. 

No sabemos cuánto tiempo ha estado así, podemos confirmar tres meses, pero sospechamos que mucho más tiempo

Cuando colocaron el proxy y vieron que había algo que no cuadraba, decidieron crearse un par de perfiles falsos en Tinder para que otros usuarios pudieran darle match y comprobar si lo que aparecía en su sistema funcionaba con cualquier tipo de usuario. Y así fue. Si desde la aplicación en su móvil tenían un match con algún usuario, podían analizar la información y ver exactamente la localización de esa persona. "Nos parecía algo muy grave. No sabemos cuánto tiempo ha estado así, podemos confirmar tres meses, pero sospechamos que mucho más tiempo". 

Regístrate gratis para seguir leyendo

Si tienes cuenta en EL PAÍS, puedes utilizarla para identificarte
INICIA SESIÓNREGÍSTRATE

O suscríbete para leer sin límites

_

Sobre la firma

Beatriz Guillén
Beatriz Guillén
Beatriz Guillén - twitter
Redactora de EL PAÍS en México. Trabaja en la mesa digital y suele cubrir temas sociales. Antes estaba en la sección de Materia, especializada en temas de Tecnología. Es graduada en Periodismo por la Universidad de Valencia y Máster de Periodismo en EL PAÍS. Vive en Ciudad de México.

Más información

Imagen de un vídeo promocional de Tinder.

Tinder se cierra para los menores de 18 años

J. A. R. | Madrid

Archivado En

Recomendaciones EL PAÍS
Colecciones
colecciones
Descubre todas las novedades que tenemos en nuestra tienda 'online'
Descubre todas las novedades que tenemos en nuestra tienda 'online'
colecciones
La música de Bruce Springsteen está de vuelta
La música de Bruce Springsteen está de vuelta
colecciones
Lo nuevo de Sergio del Molino, premio Alfaguara 2024
Lo nuevo de Sergio del Molino, premio Alfaguara 2024
colecciones
Joël Dicker está de vuelta con su nuevo libro "Un animal salvaje"
Joël Dicker está de vuelta con su nuevo libro "Un animal salvaje"
Recomendaciones EL PAÍS
Cursos
cursos
Maestría en línea en Administración de Empresas con concentración en Marketing Digital
Maestría en línea en Administración de Empresas con concentración en Marketing Digital
cursos
Maestría en línea en Dirección de Recursos Humanos
Maestría en línea en Dirección de Recursos Humanos
cursos
Maestría en línea en Psicopedagogía
Maestría en línea en Psicopedagogía
cursos
Curso en línea de Diseño Gráfico
Curso en línea de Diseño Gráfico
Recomendaciones EL PAÍS
Centros
cursosonline
Curso de Marketing Digital. Metodología en línea
Curso de Marketing Digital. Metodología en línea
cursosonline
MBA Administración y Dirección de Empresas. Con un 81% de descuento
MBA Administración y Dirección de Empresas. Con un 81% de descuento
cursosonline
Maestría en Programación Web. Clases 100% en línea
Maestría en Programación Web. Clases 100% en línea
cursosonline
Descubra un completo Directorio de Centros de Formación
Descubra un completo Directorio de Centros de Formación
_
_