Tinder, Candy Crush y más aplicaciones afectadas por una filtración masiva de datos

Una reciente filtración ha puesto al descubierto una amplia cantidad de información personal de usuarios de varias aplicaciones populares en diferentes países. Entre las afectadas hay plataformas de juegos, citas, salud, religión y servicios de transporte, exponiendo principalmente la ubicación de quienes las usan.

En el listado hay apps como Candy Crush, Tinder, Microsoft 365 e incluso la Biblia cristiana, por lo que los usuarios deben tener cuidado para proteger su información y revisar los permisos que tienen cada una de estas aplicaciones en sus celulares.

Cuál es el origen de esta filtración masiva de datos

La filtración tiene como protagonista a Gravy Analytics, una empresa dedicada a la recopilación y venta de datos de localización. Según informes de Wired y 404 Media, Gravy fue víctima de un hackeo que reveló datos sensibles de millones de usuarios.

Esta información incluía ubicaciones precisas de hogares, lugares de trabajo y otros puntos de interés. Lo más preocupante es que los desarrolladores de estas aplicaciones, en muchos casos, no eran conscientes de que los datos de sus usuarios estaban siendo recolectados.

El mecanismo detrás de esta filtración está relacionado con el proceso conocido como “real-time bidding” (RTB). Este sistema permite a los anunciantes pujar en tiempo real para mostrar anuncios personalizados en las aplicaciones.

Para lograr esta personalización, las aplicaciones comparten datos técnicos del dispositivo de los usuarios, como direcciones IP y, en algunos casos, ubicaciones más precisas, si estas han sido autorizadas.

Los datos intercambiados en el RTB, denominados “bidstream”, incluyen información suficiente para que brokers como Gravy puedan crear perfiles detallados de las personas, combinando esta información con otros datos disponibles.

<b>Cuáles son las aplicaciones comprometidas en la filtración</b>

El impacto de la filtración es enorme, dado que afecta a una amplia variedad de aplicaciones populares que abarcan diferentes categorías. Entre las apps identificadas en la lista filtrada por los ciberdelincuentes se encuentran:

• Juegos: Candy Crush, Temple Run, Subway Surfers, Harry Potter: Puzzles & Spells.
• Citas: Tinder, Grindr.
• Salud y fitness: MyFitnessPal, My Period Calendar & Tracker.
• Religión: aplicaciones de oración musulmana y Biblia cristiana.
• Servicios: Moovit, Flightradar24, Yahoo Mail, Microsoft 365.
• Plataformas sociales y entretenimiento: Tumblr.
• VPNs y herramientas de privacidad: Aplicaciones que, irónicamente, los usuarios descargan para protegerse.

La filtración de datos no solo afecta a usuarios en Estados Unidos, sino que también incluye coordenadas de dispositivos en Europa, Rusia y México, donde se conoció que 40 millones de teléfonos fueron afectados.

Según Wired, muchas de las compañías detrás de las aplicaciones comprometidas aseguran no tener conocimiento previo sobre el uso de los datos por parte de Gravy Analytics. Por ejemplo, Flightradar24 afirmó que nunca había tenido contacto con la empresa y explicó que los anuncios en su plataforma son necesarios para mantener el servicio gratuito.

Por otro lado, Muslim Pro, una app de oración musulmana, declaró que no autoriza a sus redes publicitarias a recolectar datos de localización de sus usuarios, aunque el proceso de RTB podría haber permitido el acceso a esta información.

Tinder, por su parte, aseguró que no tiene relación con Gravy Analytics ni evidencia de que los datos provengan de su plataforma.

Por qué esta filtración no afectaría a los usuarios de iPhone

Para los usuarios de dispositivos iPhone, la situación presenta un matiz esperanzador. Apple, a través de su sistema operativo iOS, ofrece herramientas diseñadas para proteger la privacidad de los usuarios. Desde iOS 14.5, la función “Pedir que no me rastreen” permite a los usuarios bloquear el acceso de las aplicaciones a sus datos de localización.

Según Baptiste Robert, CEO de Predicta Lab, quienes hayan activado esta función probablemente estén protegidos frente a la filtración de Gravy Analytics. Esto se debe a que iOS limita de forma estricta la capacidad de las apps para compartir datos de ubicación sin el consentimiento explícito del usuario.

Para verificar esta configuración, los usuarios pueden ir a Ajustes > Privacidad y Seguridad > Seguimiento y confirmar que las aplicaciones no tienen permitido rastrearlos.