Hackeo en Tinder: Match Group admite brecha de seguridad que afectó a varios usuarios

Match Group, el conglomerado propietario de aplicaciones de citas como Tinder y Hinge, confirmó que se encuentra investigando un incidente de seguridad que habría expuesto datos de usuarios, luego de que un grupo de hackers afirmara haber accedido a información interna de la compañía.

La empresa aseguró que actuó con rapidez para frenar el acceso no autorizado y sostuvo que, por el momento, no hay indicios de que se hayan comprometido credenciales de inicio de sesión, información financiera ni comunicaciones privadas.

La situación se conoció tras un informe del medio especializado 404 Media, que señaló que un grupo de hackers identificado como Scattered LAPSUS$ Hunters afirmó haber robado una gran cantidad de datos internos de Match Group.

De acuerdo con ese reporte, el medio descargó parte de la información y verificó que incluía identificadores de publicidad únicos de algunos usuarios, recibos corporativos y otros documentos internos de la empresa.

Ante estas versiones, un portavoz de Match Group declaró a Mashable que la compañía está al tanto de las denuncias difundidas en línea y que el incidente fue identificado recientemente. “Match Group se toma muy en serio la seguridad de sus usuarios y actuó con rapidez para detener el acceso no autorizado. Seguimos investigando con la ayuda de expertos externos en ciberseguridad”, indicó el vocero.

Desde la empresa también buscaron llevar tranquilidad a sus usuarios. Según la información oficial, no existen pruebas de que los atacantes hayan accedido a contraseñas, datos financieros ni mensajes privados.

“Creemos que el incidente afecta a una cantidad limitada de datos de los usuarios y ya estamos en proceso de notificar a las personas correspondientes”, añadió el portavoz, sin precisar el número exacto de cuentas potencialmente involucradas.

El grupo de hackers, por su parte, aseguró a 404 Media que el acceso a los documentos de Match Group se logró mediante una táctica de ingeniería social conocida como vishing. Este método consiste en engañar a empleados o colaboradores a través de llamadas telefónicas, haciéndose pasar por una entidad confiable, con el objetivo de obtener credenciales o información sensible. A diferencia del phishing, que suele realizarse por correo electrónico, el vishing se apoya en la persuasión directa por voz.

Según la versión de los atacantes, el grupo habría obtenido acceso al sistema de inicio de sesión único de Match Group a través de Okta, una empresa especializada en soluciones de autenticación y seguridad para organizaciones.

Sin embargo, desde Okta aclararon que sus plataformas y servicios no fueron vulnerados. Un portavoz de la compañía explicó que Okta comparte de manera regular información sobre amenazas para ayudar a las empresas a protegerse frente a técnicas de ingeniería social en constante evolución, que afectan a múltiples sectores y suelen suplantar la identidad de proveedores tecnológicos.

En paralelo, los hackers afirmaron que los datos de Match Group fueron accedidos desde la plataforma en la nube AppsFlyer, utilizada para análisis y atribución de marketing. No obstante, AppsFlyer negó de forma categórica que el incidente se haya originado en sus sistemas. La empresa señaló que no hubo ninguna filtración de datos ni vulneración de su infraestructura, y que cualquier afirmación que la vincule como causa del incidente es inexacta.

El caso vuelve a poner el foco en los riesgos de seguridad que enfrentan las grandes plataformas digitales, incluso cuando no se trata de fallas técnicas directas, sino de ataques basados en manipulación humana. Mientras continúa la investigación, Match Group aseguró que seguirá colaborando con especialistas externos y reforzando sus medidas de protección para evitar nuevos accesos no autorizados y minimizar el impacto en sus usuarios.