Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidad en aplicación de citas revela información personal y de ubicación de sus usuarios

Fecha de publicación 01/07/2025

La aplicación de citas Raw, lanzada en 2023 y con más de 500.000 descargas en Android, sufrió una grave filtración de datos que expuso públicamente información sensible de sus usuarios. Esta información incluía nombres de usuario, fechas de nacimiento, preferencias sexuales y datos de ubicación con una precisión de unos pocos metros. La filtración fue descubierta por TechCrunch realizando unas pruebas sencillas de funcionamiento sobre la aplicación, revelando que los datos se podían acceder fácilmente desde un navegador web sin autenticación previa.

Raw se promociona como una app que ofrece interacciones más genuinas, pidiendo a los usuarios subir selfies diarios. La compañía también anunció recientemente un dispositivo portátil llamado “Raw Ring”, diseñado para rastrear signos vitales de la pareja y detectar posibles infidelidades mediante inteligencia artificial. La aplicación, a pesar de afirmar en su sitio web y en sus políticas que sus servicios utilizan cifrado de extremo a extremo, TechCrunch no encontró evidencia de esta seguridad al analizar el tráfico de red de la app. En cambio, descubrió que los datos se transmitían sin ningún tipo de cifrado.

La vulnerabilidad, conocida como IDOR (referencia directa a objetos insegura), es un tipo de fallo que permite acceder o modificar datos de otros usuarios sin autorización adecuada. Al cambiar un identificador numérico en la dirección de la API, era posible ver la información privada de cualquier usuario.

Después de ser contactada por TechCrunch, la compañía corrigió rápidamente el problema y afirmó haber implementado medidas adicionales de seguridad. Sin embargo, su cofundadora confirmó que no se había realizado una auditoría de seguridad externa y evitó comprometerse a notificar directamente a los usuarios afectados. La empresa informó que presentará un informe ante las autoridades de protección de datos, pero no respondió a preguntas sobre posibles cambios en su política de privacidad.

Referencias
Etiquetas