Cuidado: aplicación de citas reveló accidentalmente la información de los usuarios

Una grave falla de seguridad en la aplicación de citas Raw dejó expuesta información sensible de sus usuarios, incluyendo datos personales, preferencias íntimas y ubicaciones geográficas con una precisión suficiente como para identificarlos a nivel de calle.

El incidente, revelado por TechCrunch, se produjo sin que mediara un ataque externo: bastaba con conocer la dirección web del servidor y un número identificador para acceder a los perfiles.

Por qué los datos de los usuarios de RAW se filtraron

El hallazgo surgió durante una prueba básica realizada por el equipo de TechCrunch, que instaló la app en un dispositivo Android virtualizado para analizar su comportamiento. Durante esta prueba se permitió que Raw accediera a la ubicación del dispositivo, que estaba configurado para simular una visita a un museo en Mountain View, California.

Mientras se monitoreaba el tráfico de datos que entraba y salía de la app, los investigadores descubrieron que la información del perfil del usuario era extraída directamente desde los servidores de la compañía, sin ningún tipo de autenticación o barrera de acceso.

Esto significa que cualquier persona con conocimientos mínimos podía ingresar a la dirección del servidor expuesto, seguida por un número de 11 dígitos, y obtener así los datos privados de cualquier otro usuario registrado en la aplicación. Modificando los dígitos, se podía visualizar un perfil distinto cada vez, con todos los datos personales y geográficos asociados.

Qué datos quedaron expuestos

La información accesible a través de esta falla incluía nombres públicos, fechas de nacimiento, preferencias sexuales y datos de geolocalización que llegaban a detallar coordenadas específicas, capaces de ubicar a los usuarios con precisión a nivel de calle.

La dimensión del problema se agrava si se considera la naturaleza íntima del servicio: una app de citas diseñada para recolectar y procesar datos sensibles por definición.

Raw se promociona como una aplicación que promueve “el amor real y sin filtros”, y desde su lanzamiento en 2023 busca diferenciarse mediante una interfaz que exige selfies diarios usando ambas cámaras del teléfono. Su listado en Google Play Store registra más de 500.000 descargas en Android, aunque la compañía no ha revelado cuántos usuarios activos tiene.

Consultada por TechCrunch, Marina Anderson, cofundadora de Raw, confirmó que los errores fueron subsanados rápidamente: “Todos los extremos que antes estaban expuestos se aseguraron e implementamos salvaguardas adicionales para impedir que haya problemas similares en el futuro”.

No obstante, cuando se le preguntó si la empresa había realizado auditorías de seguridad externas, Anderson admitió que no, y declaró que la compañía mantenía el foco en construir un producto de calidad y en relacionarse con su comunidad.

Anderson también confirmó que no se notificó proactivamente a los usuarios afectados y que Raw se limitará a presentar un informe ante las autoridades de protección de datos.

Hasta el momento no está claro cuánto tiempo estuvo la aplicación filtrando información antes de que se detectara la falla. La empresa aún se encuentra investigando el incidente.

Una de las afirmaciones más controvertidas fue la que figuraba en el sitio web y la política de privacidad de Raw, donde se indicaba que tanto la app como su nuevo dispositivo wearable —el anillo Raw— usaban cifrado de extremo a extremo (E2EE), una tecnología que impediría el acceso a los datos incluso por parte de la propia empresa.

Sin embargo, durante su análisis técnico, TechCrunch no halló ninguna evidencia de que ese cifrado existiera. Tras ser confrontada con esta información, Anderson rectificó que Raw utiliza cifrado en tránsito y controles de acceso internos para proteger la información, lo que no equivale al cifrado de extremo a extremo prometido inicialmente.

El incidente de seguridad ocurrió en la misma semana en que Raw anunció un nuevo producto: el Raw Ring, un dispositivo inteligente que aún no está a la venta y que, según la compañía, permitirá a los usuarios rastrear el ritmo cardíaco y otros datos biométricos de sus parejas, con el objetivo —explícito— de detectar posibles infidelidades mediante inteligencia artificial.