Cuando Raw irrumpió en escena en 2023, prometía sacudir la aplicación de citas como lo hizo Bumble hace unos años. Sin filtros. Sin perfiles personalizados. Solo selfies diarios y coincidencias basadas en la ubicación en tiempo real, todo en nombre de la autenticidad. Era una promesa audaz en un mundo enganchado a los personajes digitales brillantes y a los deslizamientos de dedo a izquierda o derecha.
Pero el mes pasado, el modelo de confianza de Raw sufrió un duro golpe. Se dice que una brecha de seguridad expuso datos sensibles de los usuarios a, bueno... cualquiera que buscara datos de citas. Resulta que la privacidad todavía necesita ser protegida, no importa lo fresca que se sienta la UX.
El problema de Raw representó algo más que un fallo técnico, porque la aplicación prometía vulnerabilidad emocional y confianza, lo que hace que su experiencia con la vulnerabilidad sea mucho más conmovedora. La filtración de datos se produjo como resultado de fallos básicos de seguridad y no de complejas operaciones de pirateo o malware. Fue mucho más sencillo, y probablemente mucho más dañino.
Los informes muestran que el backend de Raw estaba desprotegido, lo que permitía un acceso sin restricciones a los perfiles de los usuarios sin ningún requisito de autenticación. El uso de un navegador web típico junto con un identificador de usuario de 11 dígitos fácil de adivinar permitía acceder a información personal, incluidos nombres, fechas de nacimiento, orientación sexual y datos exactos de localización con precisión a nivel de calle. Ouch.
Una puerta abierta a cualquiera
Una vulnerabilidad IDOR (Insecure Direct Object Reference) representa un fallo de ciberseguridad que actúa como dejar archivos privados en un archivador sin cerrar situado en un pasillo público accesible. Al parecer, los equipos de investigación lograron explotar la vulnerabilidad creando un perfil falso mediante la suplantación de la ubicación.
Tras crear un perfil ficticio, accedieron a los datos de otros usuarios de Raw incrementando los números de identificación de usuario. Sin contraseña. Sin inicio de sesión. Sin cifrado. Sólo un punto final de API abierto: api.raw.app/users/[ID].
La investigación no reveló rastro alguno de cifrado de extremo a extremo durante la transmisión o el almacenamiento de datos, pese a las afirmaciones públicas de la empresa en este sentido. La aplicación transmitía datos confidenciales sin restricciones con falsas afirmaciones de cifrado que resultaron ser meras técnicas de marketing.
Las consecuencias de la exposición
Tras conocerse el problema, Raw cerró inmediatamente los puntos finales expuestos y dio a entender que se realizarían las notificaciones necesarias. Sin completar la diligencia debida, la compañía se centró en la construcción de un producto de alta calidad, mientras que la participación con su comunidad, de acuerdo con su declaración. Traducción: Crecimiento primero, seguridad después.
La brecha de seguridad golpeó a la startup en un momento inoportuno. Pocos días antes, Raw había anunciado su próxima gran idea: el Raw Ring, un dispositivo para llevar puesto que rastrea los datos del ritmo cardíaco junto con las señales emocionales y el tono de voz para identificar indicadores de infidelidad. ¿El argumento? La monitorización de relaciones en tiempo real basada en IA potencia la "zona libre de ligues".
Han surgido serias dudas incluso antes de que el anillo esté disponible para los consumidores. Raw no pudo proteger las fotos de perfil ni los datos del GPS, así que ¿cómo puede garantizar que la información biométrica y los metadatos emocionales permanezcan seguros?
El paisaje es duro
Raw no es la única aplicación que intenta reescribir las reglas de las citas. Se enfrenta a una oleada de nuevas y atrevidas competidoras, cada una con su propio toque.
Thursday limita las citas a un día a la semana y acelera los encuentros en la vida real. Snack lleva los vídeos al estilo TikTok a las citas y se dirige a los usuarios de la Generación Z. Feeld apuesta por la inclusividad y se dirige a las relaciones no tradicionales y abiertas. Hinge se inclina por las conexiones serias con su mantra "diseñado para ser borrado", mientras que Lox Club añade un aire de exclusividad y humor a la mezcla.
En un espacio impulsado por la novedad, la confianza y las buenas vibraciones, la competencia es feroz y, para aplicaciones como Raw, hay poco margen para cometer errores.
Golpe final: Cuando la vulnerabilidad deja de ser romántica
Los fallos de seguridad de Raw forman parte de una tendencia más amplia del sector. Las aplicaciones móviles suelen ganar popularidad mucho antes de estar diseñadas para resistir amenazas reales a la seguridad. Los desarrolladores, movidos por la ambición, la inexperiencia o la simple indiferencia, suelen tratar la ciberseguridad como algo secundario hasta que algo se rompe. Y cuando se rompe, sale caro.
En el caso de Raw, los usuarios descubrieron que su comportamiento en las citas, su orientación sexual e incluso sus datos de localización en tiempo real estaban expuestos en Internet. Para una aplicación destinada a comunidades vulnerables y personas que buscan privacidad, las consecuencias podrían ser mucho más graves que una simple vergüenza.
Raw tenía impulso. Más de medio millón de descargas en Android y una creciente base de usuarios fieles atraídos por su ambiente sin filtros y en tiempo real. Pero la confianza en las aplicaciones de citas no viene de la estética o la viralidad. Se forja en silencio, a través de sistemas seguros que los usuarios nunca ven pero en los que confían plenamente.
Raw es ahora una advertencia. En el mundo de las aplicaciones de citas, estás tan seguro como tu backend. La vulnerabilidad puede ser esencial en el amor, pero no en el código.
Comentario
La filtración de datos de Raw convierte la realidad de las citas en un riesgo
Índice
Cuando Raw irrumpió en escena en 2023, prometía sacudir la aplicación de citas como lo hizo Bumble hace unos años. Sin filtros. Sin perfiles personalizados. Solo selfies diarios y coincidencias basadas en la ubicación en tiempo real, todo en nombre de la autenticidad. Era una promesa audaz en un mundo enganchado a los personajes digitales brillantes y a los deslizamientos de dedo a izquierda o derecha.
Pero el mes pasado, el modelo de confianza de Raw sufrió un duro golpe. Se dice que una brecha de seguridad expuso datos sensibles de los usuarios a, bueno... cualquiera que buscara datos de citas. Resulta que la privacidad todavía necesita ser protegida, no importa lo fresca que se sienta la UX.
El problema de Raw representó algo más que un fallo técnico, porque la aplicación prometía vulnerabilidad emocional y confianza, lo que hace que su experiencia con la vulnerabilidad sea mucho más conmovedora. La filtración de datos se produjo como resultado de fallos básicos de seguridad y no de complejas operaciones de pirateo o malware. Fue mucho más sencillo, y probablemente mucho más dañino.
Los informes muestran que el backend de Raw estaba desprotegido, lo que permitía un acceso sin restricciones a los perfiles de los usuarios sin ningún requisito de autenticación. El uso de un navegador web típico junto con un identificador de usuario de 11 dígitos fácil de adivinar permitía acceder a información personal, incluidos nombres, fechas de nacimiento, orientación sexual y datos exactos de localización con precisión a nivel de calle. Ouch.
Una puerta abierta a cualquiera
Una vulnerabilidad IDOR (Insecure Direct Object Reference) representa un fallo de ciberseguridad que actúa como dejar archivos privados en un archivador sin cerrar situado en un pasillo público accesible. Al parecer, los equipos de investigación lograron explotar la vulnerabilidad creando un perfil falso mediante la suplantación de la ubicación.
Tras crear un perfil ficticio, accedieron a los datos de otros usuarios de Raw incrementando los números de identificación de usuario. Sin contraseña. Sin inicio de sesión. Sin cifrado. Sólo un punto final de API abierto: api.raw.app/users/[ID].
La investigación no reveló rastro alguno de cifrado de extremo a extremo durante la transmisión o el almacenamiento de datos, pese a las afirmaciones públicas de la empresa en este sentido. La aplicación transmitía datos confidenciales sin restricciones con falsas afirmaciones de cifrado que resultaron ser meras técnicas de marketing.
Las consecuencias de la exposición
Tras conocerse el problema, Raw cerró inmediatamente los puntos finales expuestos y dio a entender que se realizarían las notificaciones necesarias. Sin completar la diligencia debida, la compañía se centró en la construcción de un producto de alta calidad, mientras que la participación con su comunidad, de acuerdo con su declaración. Traducción: Crecimiento primero, seguridad después.
La brecha de seguridad golpeó a la startup en un momento inoportuno. Pocos días antes, Raw había anunciado su próxima gran idea: el Raw Ring, un dispositivo para llevar puesto que rastrea los datos del ritmo cardíaco junto con las señales emocionales y el tono de voz para identificar indicadores de infidelidad. ¿El argumento? La monitorización de relaciones en tiempo real basada en IA potencia la "zona libre de ligues".
Han surgido serias dudas incluso antes de que el anillo esté disponible para los consumidores. Raw no pudo proteger las fotos de perfil ni los datos del GPS, así que ¿cómo puede garantizar que la información biométrica y los metadatos emocionales permanezcan seguros?
El paisaje es duro
Raw no es la única aplicación que intenta reescribir las reglas de las citas. Se enfrenta a una oleada de nuevas y atrevidas competidoras, cada una con su propio toque.
Thursday limita las citas a un día a la semana y acelera los encuentros en la vida real. Snack lleva los vídeos al estilo TikTok a las citas y se dirige a los usuarios de la Generación Z. Feeld apuesta por la inclusividad y se dirige a las relaciones no tradicionales y abiertas. Hinge se inclina por las conexiones serias con su mantra "diseñado para ser borrado", mientras que Lox Club añade un aire de exclusividad y humor a la mezcla.
En un espacio impulsado por la novedad, la confianza y las buenas vibraciones, la competencia es feroz y, para aplicaciones como Raw, hay poco margen para cometer errores.
Golpe final: Cuando la vulnerabilidad deja de ser romántica
Los fallos de seguridad de Raw forman parte de una tendencia más amplia del sector. Las aplicaciones móviles suelen ganar popularidad mucho antes de estar diseñadas para resistir amenazas reales a la seguridad. Los desarrolladores, movidos por la ambición, la inexperiencia o la simple indiferencia, suelen tratar la ciberseguridad como algo secundario hasta que algo se rompe. Y cuando se rompe, sale caro.
En el caso de Raw, los usuarios descubrieron que su comportamiento en las citas, su orientación sexual e incluso sus datos de localización en tiempo real estaban expuestos en Internet. Para una aplicación destinada a comunidades vulnerables y personas que buscan privacidad, las consecuencias podrían ser mucho más graves que una simple vergüenza.
Raw tenía impulso. Más de medio millón de descargas en Android y una creciente base de usuarios fieles atraídos por su ambiente sin filtros y en tiempo real. Pero la confianza en las aplicaciones de citas no viene de la estética o la viralidad. Se forja en silencio, a través de sistemas seguros que los usuarios nunca ven pero en los que confían plenamente.
Raw es ahora una advertencia. En el mundo de las aplicaciones de citas, estás tan seguro como tu backend. La vulnerabilidad puede ser esencial en el amor, pero no en el código.
Manténgase informado y seguro
Escrito por
Jon Samsel
Responsable de Negocio de Ciberseguridad y Marketing Global
Comparta esta información sobre ciberseguridad
Otros datos sobre ciberseguridad
Resumen de amenazas a la ciberseguridad nº 22: Copybara, Crocodilus, Lucid y más
SparkKitty: Una amenaza silenciosa en las aplicaciones "de confianza
La brecha en WestJet demuestra por qué el tiempo de inactividad es un asesino empresarial
El libro de jugadas digital de Darcula: La estafa global que está redefiniendo las amenazas móviles