Fuga Masiva de Datos en App de Citas Raw: Ubicaciones y Preferencias Sexuales Expuestas

Fallos de Seguridad Comprometen Información Sensible de Usuarios

Una grave vulnerabilidad en la aplicación de citas Raw expuso públicamente datos personales y ubicaciones precisas de sus usuarios, según investigaciones recientes. La información incluía nombres de perfil, fechas de nacimiento, preferencias sexuales y coordenadas geográficas con precisión a nivel de calle.

Detalles Técnicos de la Brecha

• Tipo de vulnerabilidad: IDOR (Insecure Direct Object Reference)
• Datos expuestos: Acceso no autorizado mediante URLs con números de 11 dígitos
• Fecha de corrección: Miércoles 30 de abril de 2025

La falla permitía acceder a cualquier perfil modificando el identificador único en la dirección api.raw.app/users/, según el análisis del tráfico de red. Marina Anderson, cofundadora de Raw, confirmó que implementaron medidas correctivas pero evitó comprometerse a notificar directamente a los afectados.

Implicaciones y Respuesta Corporativa

• Auditorías de seguridad: La compañía admitió no haber realizado revisiones externas
• Encriptación: Contradicciones entre la política de privacidad y hallazgos técnicos
• Dispositivo Raw Ring: Proyecto de wearable con supuesto monitoreo cardíaco bajo cuestionamientos éticos

Con más de 500,000 descargas en Android desde su lanzamiento en 2023, este incidente plantea serias dudas sobre los protocolos de seguridad en apps de citas. La Cybersecurity and Infrastructure Security Agency (CISA) ya había alertado sobre riesgos de IDOR en su iniciativa Secure by Design 2023.