Usuarios de apps de citas enfrentan serios riesgos de seguridad

Investigadores de Kaspersky Lab encontraron vulnerabilidades en transmisiones de datos inseguros y filtración de información personal. 01/11/17
 

Por: Reseller / Agencias

Investigadores de Kaspersky Lab descubrieron vulnerabilidades en transmisiones de datos inseguros y filtración de información personal. Después de analizar nueve servicios globales, encontraron que algunos de ellos proporcionan niveles muy bajos de protección de los datos de los usuarios.

Según el más reciente informe 'Relaciones peligrosas: ¿todos lo hacen en línea?', una de cada tres personas utiliza actualmente un servicio de citas en línea. Pero con la creciente popularidad de estos servicios surge un importante problema de seguridad, ya que la mayoría de los servicios de citas requiere que los usuarios compartan información personal. Por ello el equipo de Kaspersky Lab examinó qué tan seguros son estos sitios aplicaciones populares de citas que tienen el potencial de generar consecuencias negativas para los usuarios: desde identificar a una persona en realidad.

Se puede identificar a los usuarios al averiguar sus nombres y apellidos en los perfiles incluidos en las redes sociales y también se les puede encontrar en el mundo físico mediante el uso de datos de geolocalización. Además de eso, pueden perder el acceso a sus cuentas o encontrar que sus datos personales han caído en manos equivocadas.

'Nuestra investigación demuestra que los usuarios de aplicaciones de citas deberían preocuparse por la seguridad cibernética, ya que muchos de estos servicios no están protegidos contra diferentes tipos de ataques. Además de esto, los usuarios se ponen en riesgo al compartir información personal confidencial en sus perfiles, como el lugar donde estudiaron y donde trabajan”, comenta Román Unuchek, experto en seguridad para Kaspersky Lab.

También existe un riesgo de seguridad que está presente en varias apps refiriéndose al método de autenticación basado en tokens que utilizan las apps de citas para los procesos de inscripción y acceso. En este método, se crea un token a petición de un servidor, con el fin de identificar de forma única al usuario y, por lo general, se solicita acceso a una cuenta de Facebook. Posteriormente, se proporciona acceso a la información general del usuario, incluidos nombres y apellidos, dirección de correo electrónico y foto que figura en el perfil.

Al usar este método, las aplicaciones reciben todos los datos necesarios para verificar al usuario en sus servidores. Sin embargo, también se encontró que los tokens se almacenan o se utilizan con frecuencia de forma insegura y, por lo tanto, pueden robarse fácilmente. Como resultado, los intrusos pueden obtener acceso temporal a las cuentas de las víctimas, incluso sin sus datos de inicio de sesión y contraseña.

Existe una alta vulnerabilidad con la seguridad de los historiales de mensajes que se almacenan en el dispositivo y que los intrusos pueden acceder y leer. Tales ataques son una amenaza particular para los usuarios de los dispositivos Android. Algunos de estos, como los que tienen el software desactualizado permiten a los atacantes obtener acceso raíz al dispositivo; por lo que se puede usar para obtener acceso a información privada, incluida la actividad del usuario en las aplicaciones de citas, como son los mensajes que se han escrito y las fotos que se han visto.

Asimismo, a los usuarios de seis de las aplicaciones que se analizaron pueden ser detectados por su ubicación. Aunque la mayoría de las aplicaciones utilizan SSL (Secure Sockets Layer) para asegurar la comunicación con los servidores, algunos datos se envían a través del protocolo HTTP y no se cifran. Esto proporciona a los hackers oportunidades de interceptar estas comunicaciones, que a menudo contienen información personal como la ubicación del usuario, perfiles visitados, mensajes, datos del dispositivo, entre otras. Al utilizar una conexión insegura, los intrusos también pueden controlar la cuenta de la víctima.

“Armados con estos datos, los intrusos pueden encontrar fácilmente las cuentas reales de las víctimas en Facebook y LinkedIn. Esto también abre posibilidades para el acoso, como hostigar y rastrear movimientos en la vida real. Por lo tanto, los usuarios deben asegurarse de supervisar cuidadosamente su privacidad, así como la seguridad y protección de sus datos cuando utilizan servicios de citas en línea', comentó Román Unuchek.

Se necesita ser más cuidadosos y audaces a la hora de usar este tipo de aplicaciones por ello es altamente recomendable evitar los puntos de acceso Wi-Fi públicos que ofrecen protección limitada, usar una VPN para garantizar una conexión segura, no compartir información confidencial de identificación, como lugar donde estudia, trabaja, entre otras, e instalar una solución de seguridad confiable en su dispositivo, como Kaspersky Internet Security para Android.