Por qué no deberías compartir tu ubicación en apps de citas

A través de una serie de referencias geográficas, un estafador podría adivinar con bastante precisión dónde vive o por dónde suele moverse una persona, incluso si esta no desvela su ubicación exacta en la app de manera pública.

Las aplicaciones de citas son otro enclave favorito de ciberdelincuentes y estafadores para engañar a otras personas. La mayoría de gente ya debería ser consciente de las precauciones que hay que tomar al hablar con personas que, al fin y al cabo, son desconocidos. Aun así, hay que insistir nuevamente en los peligros de compartir ciertos datos a través de estas apps, concretamente los relativos a la ubicación.

Algunas de estas apps de citas o encuentros permiten enviar la ubicación de manera similar a como lo hacemos por WhatsApp. Siendo conscientes del riesgo que supone enviar la ubicación de una vivienda a un desconocido, algunas personas optan por, por ejemplo, enviar la ubicación de un punto cercano. Sin embargo, incluso si las ubicaciones que un potencial hacker detecta no son exactas, los delincuentes podrían usar una técnica llamada trilateración para averiguar, con bastante exactitud, la ubicación real de una persona.

Así se desprende de una investigación realizada por Alexey Bukhteyev publicada en Check Point Research, que recoge cómo un cibercriminal podría usar los diversos datos de localización que recogen este tipo de apps para ubicar geográficamente a alguien. Y es que no se trata solo de que un usuario comparta deliberadamente su ubicación, sino que este tipo de apps ya recogen por sí solas datos relacionados para poder ofrecer al usuario perfiles cercanos.

Por ejemplo, Tinder ofrece a sus usuarios la posibilidad de pedir que se le muestren perfiles más cercanos o alejados en un determinado rango de kilómetros. Para ello utiliza la geolocalización del teléfono, pidiendo permiso para acceder a ella al instalarla. Ocurre lo mismo con otras apps como Hornet, Hinge, Happn o Mumble, que usan datos de proximidad en sus algoritmos o que conectan perfiles si estos se cruzan por la calle.

Estos datos podrían ser usados para emplear la técnica de la trilateración. Se trata de un método que permite averiguar las coordenadas de un punto conociendo las coordenadas de otros lugares distintos y la distancia que hay de ellos al objetivo. Es decir, aunque no hayas compartido en ningún momento la ubicación de tu vivienda, si los ciberdelincuentes obtienen otra serie de datos extraídos del servidor de la app, podrían cuadrarlos con cálculos geométricos y averiguar dónde se encuentra la persona.

Vulnerabilidades en Hornet y Mumble

La investigación de Bukhteyev se enfocó concretamente en dos aplicaciones de citas para público LGTBI. Una de ellas es Hornet, y el nombre de la segunda no se detalla. Ambas aplicaciones han sido descargadas más de 10 millones de veces. El estudio revela que Hornet presentaba vulnerabilidades en su código que permitían localizar con una exactitud de hasta 10 metros a un individuo, incluso si este deshabilitaba la ubicación pública.

Unos cambios recientes en la app introducidos por los desarrolladores de Hornet han reducido la exactitud de la localización mediante trilateración a 50 metros. Tratándose de apps de citas para el público gay, esto supone un peligro aún mayor cuando hablamos de países dictatoriales o con legislaciones agresivas hacia la comunidad LGTBI. Tanto es así que el propio Hornet tiene una guía con tips de seguridad a seguir para usar la app en estas regiones. Grindr también tiene una guía similar.

Un ejercicio parecido al de Bukhteyev fue el realizado por Robert Heaton sobre la app Mumble. Pese a que esta app también aplicaba un filtro para redondear la ubicación, el investigador fue capaz de usar la trilateración enviando peticiones al servidor de Mumble. Esta app también realizó cambios para corregir el problema.

Otros estudios realizados sobre este tema han recomendado a los desarrolladores de aplicaciones tomar al menos estas tres medidas para evitar desvelar demasiada información: el redondeo de coordenadas geográficas (por ejemplo, que en lugar de «780 metros» se registre «1 kilómetro»), variación aleatoria de las distancias entre usuarios mostradas, y habilitación de una opción para no mostrar la distancia a otros usuarios.

En el caso de Grindr, desde su web explican que recoge información de ubicación con un ratio de precisión de 100 metros. Además, apps como Grindr o Hinge permiten al usuario modificar su ubicación, lo que también posibilita a potenciales estafadores entrar en contacto con personas incluso en otros países fingiendo otra identidad.

Fuente: adslzone