Grindr ha comprometido la seguridad de sus usuarios

Aunque al hablar de servicios online de contactos, Tinder suele ser el primero que viene a nuestras cabezas, hay otros como Grindr, dirigidos a audiencias específicas, que cuentan con un enorme nivel de reconocimiento entre las mismas y, de hecho, son los más empleados dentro de su público objetivo. Por si no lo conoces, Grindr funciona de manera semejante al resto de servicios de este tipo, pero con la particularidad de estar dirigido específicamente a usuarios LGTBI+.

Grindr, como cualquier otro servicio online, cuenta con una función de recuperación de contraseña, que sus usuarios pueden emplear desde el navegador web. Su funcionamiento, en principio, es similar al ya visto en miles de servicios: escribes tu cuenta de correo electrónico y, poco después, recibes un mensaje de correo con las instrucciones para generar una nueva contraseña. Hasta aquí todo normal, el problema aparece cuando Wassime Bouimadaghene, un investigador de seguridad, analiza el funcionamiento de la misma y descubre la que posiblemente sea una de las implementaciones más chapuceras nunca vistas de esta función.

Por no enrollarme, cuando empleamos esta función en cualquier servicio, se genera un token único, que recibimos por correo electrónico (generalmente en una url genérica a la que se añade ese token concreto), de modo que solo tenemos que hacer click en ese enlace y podremos escoger una nueva contraseña. Ese token es, por lo tanto, un elemento a securizar, ¿verdad? Pues bien, el investigador descubrió que bastaba con abrir la página de recuperación de contraseña de Grindr, escribir una cuenta de correo electrónico y acceder a las herramientas para desarrolladores del navegador para ver el token generado en la operación.

Afortunadamente, el investigador informó de inmediato a los responsables de Grindr, que ya han solventado el problema. Sin embargo, y aunque la compañía afirma que no tiene constancia de que este agujero de seguridad no haya sido empleado malintencionadamente, lo cierto es que no tienen ni idea de si realmente ha sido así o no. Y el problema es que se trata de un fallo de seguridad tan rematadamente garrafal que cuesta creer que no haya sido explotado en el pasado.

Cuando un usuario cede sus datos y confía en un servicio online, sea del tipo que sea, a cambio espera que los mismos sean tratados con las debidas medidas de protección, más aún en un caso como el de Grindr. Y es que no podemos olvidar que aunque en la mayoría de occidente homosexualidad, bisexualidad, transexualidad, etcétera ya están razonablemente aceptadas, hay muchos lugares del mundo en los que siguen fuera de la legalidad y son perseguidas y castigadas con inusitada dureza.

Dicho de otra manera, hablamos de datos que pueden llevar al señalamiento y castigo a personas simplemente por su condición no heterosexual, «delito» que puede ser castigado con cárcel en lugares como Rusia o, incluso, con la pena capital en países orientales como Irán. Que Grindr haya descuidado la seguridad de sus usuarios, sabiendo muy bien los riesgos que esto conlleva, debería hacer reflexionar muy seriamente a sus responsables (a principios de año se produjo un cambio en sus propietarios) y, por supuesto, hacer que sus usuarios exijan cuentas al servicio.

Y aún hay otro punto que me parece interesante destacar: uno de los datos que los usuarios de Grindr añaden en sus perfiles es si son seropositivos, es decir, si tienen el VIH. Así, si algún ciberdelincuente ha explotado este agujero de seguridad, ha podido acceder a datos médicos, que según la GDPR gozan de un nivel particularmente alto de protección. Es cierto que hasta el momento no se sabe de exfiltración masiva de datos, pero aún así pienso que la justicia europea debería actuar y sentar un precedente.