Cómo encontrar a una persona detrás de un número de WhatsApp con Idealista y Tinder

En el mundo actual, donde la tecnología está presente en cada aspecto de nuestra vida, plataformas como WhatsApp, Idealista o Tinder se han convertido en verdaderos campos de minas para nuestra privacidad, cada uno en su sector, desdibujando la línea entre lo conveniente y lo peligroso. La facilidad con la que podemos caer en trampas de seguridad y privacidad es alarmante, especialmente cuando las herramientas diseñadas para facilitar nuestra comunicación y socialización se convierten en ventanas abiertas a nuestra vida privada.

Figura 1: Cómo encontrar a una persona detrás de

un número de WhatsApp con Idealista y Tinder

Tomemos WhatsApp, por ejemplo, la joya de la corona de nuestras interacciones digitales. Su requerimiento de vincular un número de teléfono a cada cuenta parece inofensivo al principio. Sin embargo, este pequeño detalle es una veta de oro para aquellos con malas intenciones.

Buscando la ubicación de Gregorio   

Imaginemos a Gregorio, un usuario promedio de WhatsApp que decide vender una antigua guitarra a través de un grupo de compra-venta. Al compartir su número para coordinar la venta, no solo está abriendo la puerta a potenciales compradores, sino también a desconocidos que, con tan solo su número de teléfono, pueden comenzar a trazar un mapa hacia su vida personal.

Figura 2: Mensaje enviado por Gregorio en WhatsApp

Incluso antes de conocer el nombre de Gregorio, nos encontramos con su anuncio de venta en nuestro grupo de WhatsApp. Somos simplemente un miembro más del grupo, ni siquiera estamos interesados en la guitarra, pero el nombre de usuario de Gregorio, visible al enviar un mensaje, queda expuesto a todos los participantes del grupo. Y es que en WhatsApp el nombre va con todos los mensajes que se envíen. En la imagen observamos como el nick de Gregorio es claro. Su nombre y primer apellido, al mandar un mensaje se expone dicho nick a todos los integrantes del grupo. De todo esto he hablado largo y tendido en el libro de "WhatsApp INT: OSINT en WhatsApp".

Figura 3:  WhatsApp INT: OSINT en WhatsApp.

de Luis Márquez Carpintero en 0xWord.

Avanzando un paso más, al introducir su número de teléfono en Idealista, confirmamos su identidad, incluso si Gregorio hubiera optado por no configurar su nombre en WhatsApp, descubriríamos que el teléfono vinculado a idealista pertenece a Gregorio, y una ubicación que nos revela su cercanía a la Universidad de Alicante.

Figura 4: Vistazo en Idealista tras buscar por número de teléfono

De esta manera, partiendo de un simple mensaje de WhatsApp para vender una guitarra, ahora somos conocedores del nombre de Gregorio por dos fuentes diferentes, su número de teléfono y, más críticamente, su ubicación precisa.  Esto es terrible cuando pensamos en obtener la ubicación de universitarios que buscan compartir piso o gente vulnerable de la que sabremos su ubicación. 

Figura 5: Haciendo un transferencia (sin llegar a ejecutarla), se obtiene el nombre
de verdad y las iniciales de los apellidos de la cuenta bancaria asociada
a ese número de teléfono. En este caso  José Antonio C. M. se esconde
detrás de un número de teléfono dado. 

En algunos casos, la imagen de perfil de Idealista añade otra capa de información. Aunque decidimos no investigar más plataformas como Telegram, Bizum - que nos daría su nombre e iniciales de los apellidos - o hacer suposiciones sobre su vida universitaria, la información ya recopilada es alarmante. Información que se consigue de fuentes abiertas usando técnicas de Open Source INTelligence.

Figura 6: Open Source INTelligence (OSINT): Investigar personas e Identidades en Internet 2ª Edición de 0xWord, escrito por Vicente Aguilera y Carlos Seisdedos

Utilizando cualquier detector de edad en línea, estimamos que Gregorio tiene aproximadamente 32 años, basándonos precisamente en el contenido multimedia disponible. Es importante recalcar que esta edad es una estimación y que la precisión de esta puede aumentar con más información y un modelo de detector de edad más avanzado.

Y ahora a por su Tinder con Cheater Buster

Finalmente queremos obtener el Tinder de esta persona, de la que inicialmente solo teníamos ese mensaje de WhatsApp, utilizando únicamente la información ya recogida. Empleando el servicio Cheater Buster, e introduciendo la ubicación, el nombre, la edad aproximada y una foto, podremos acceder a su perfil de Tinder.

Figura 7: Búsqueda del perfil de Gregorio con CheaterBuster.

Imagen sacada del libro de WhatsApp INT: OSINT en WhatsApp

La similitud no debe ser idéntica, la aplicación encontrará igualmente usuarios similares (por ejemplo si en Tinder se llama “Gregoriooo”). Además, la imagen es para poder aplicar el reconocimiento facial y cribar en una ciudad superpoblada con muchos resultados para el criterio establecido. El caso de Gregorio es solo un ejemplo hipotético, pero la realidad es que situaciones similares ocurren todos los días. La interconexión entre nuestras vidas digitales y físicas nunca ha sido tan estrecha, ni los riesgos tan palpables.

¡Saludos!

Autor: Luis Márquez Carpintero autor del libro: WhatsApp INT: OSINT en WhatsApp.

Contactar con Luis Márquez Carpintero

Telegram y la gente cerca de ti... que te vigila

En Telegram hace tiempo que pusieron la posibilidad de conectar y charlar con personas cerca de ti, pero tiene una forma de funcionar un poco peculiar. Y es que puedes ver quién está cerca de ti sin necesidad de que te hagas visible tú para los demás. Y esto está bien para ti si no quieres dar información, pero para los que se hacen visible es crear un perfil en una red social más, pero diciendo dónde estás en todo momento, con sus pros y sus cons.

Figura 1: Telegram y la gente cerca de ti... que te vigila

El funcionamiento es muy sencillo. Basta con que te vayas a la pestaña de Gente cerca de ti, y veos quién se encuentra en los diferentes anillos concéntricos de distancia desde tu ubicación actual. Es decir, quién está a 500 metros de ti - ¡hola vecinos! -, quién está a 1Km, a 2Km, a 3Km, etcétera, para que tengas un mapa claro de la gente que está a tu alrededor.

Figura 2: Gente cerca de ti en Telegram

Esto puede estar bien, para tiendas de barrio, para servicios locales, bares, eventos, restaurantes, etcétera, lo que ayuda a crear un networking asociado a una punto geográfico concreto. Esto lo hacían hace mucho tiempo ya atrás, nuestros amigos Fernando Calvo y Alejandro con su Spotbros que tanto juego nos dio.

Por supuesto, como sucedía en Spotbros, te puedes encontrar cualquier cosa, y servicios de otra índole para adultos. Yo, revisándolo durante viajes y en distintas ubicaciones me he encontrado literalmente de todo, de todo, especialmente por la noche y en sitios más alejados. Una auténtica red de contactos para lo que quieras, y no siempre recomendable.

Figura 3: Perfiles de Telegram en abierto en People Nearby

Pero cada uno es libre de buscar lo que busque y de ofrecer lo que ofrezca, así que el artículo de hoy venia más a colación porque para los adolescentes, y los más jóvenes, es también una forma de saber "quién está por el barrio", y muchos lo tienen activado con el fin de saber quién anda por aquí, y esto puede generar problemas serios de privacidad. 

Figura 4: Libro de "Cómo protegerse de los peligros en Internet"
de José Carlos Gallego en  0xWord

Se puede saber qué casas están vacías, se puede vigilar los horarios a las personas, y se pueden sacar muchos patrones de comportamiento de la gente solo por en qué círculos se mueven, así que se puede conocer mucho de ellos. Y saber exactamente donde está cada uno. 

¿Y cómo saber exactamente dónde está cada uno?

Pues esto lo explicó en el año 2021 un investigador que uso un truco muy sencillo. Y es usar un Fake GPS en su terminal para situarse él en diferentes puntos, y ver cómo las personas que estaban cerca se iban moviendo de un círculo de 500 metros a uno de 1Km, o 2Km, o lo que fuera, con lo que haciendo círculos concéntricos desde su posición fue capaz de ir ubicando a las personas cerca de él.

Figura 5: Demo del investigador para localizar a personas vía Telegram People Nearby

El uso de Fake GPS es algo muy común, y se ha usado en muchos casos similares, ya que el caso de Telegram es similar al que se ha vivido en el pasado con la localización de personas con Tinder, por ejemplo, Al final, se hagan más o menos medidas de mitigación para hacer un poco menos fina la ubicación de una persona en servicios como estos, hay que tener en cuenta que hacer visible tu ubicación en todo momento en servicios como este de Telegram People Nearby no es lo más recomendable. 

Nunca sabes quién está vigilándote ni con qué intenciones, y más en un servicio como éste donde el que vigila no necesita hacerse visible. 

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

DroneTinder: Vigilancia continua en Tinder con Virtual Drones #Tinder #Privacidad

Hace ya un tiempo, tras ver el funcionamiento de Tinder y lo fácil que es jugar con las ubicaciones GPS para engañar a la plataforma, escribí un artículo en el que planteaba la posibilidad de que alguien estuviera vigilando constantemente dónde estás por medio de una especie de Virtual Drone que te siguiera allá donde te movieras. 

Figura 1: DroneTinder. Vigilancia continua en Tinder con Virtual Drones

Las posibilidades que abre el que alguien ponga un Virtual Drone en Tinder son más que posibles. Puedes vigilar una zona - por ejemplo una ubicación de una empresa para saber quién viene a ella - o monitorizar una tienda o centro comercial -, pero lo mejor es que si se desea, se puede poner un Virtual Drone que te va siguiendo en todo momento.

Figura 2: Artículo que hablaba sobre los Virtual Drones

Con esas ideas, propusimos un proyecto de Universidades en ElevenPaths que nuestro compañero Julio García decidió implementar y que Pablo González estuvo dirigiendo, y que es lo que pudisteis ver todos los que estuvisteis en la conferencia Hacr0n de este viernes.

Figura 3: Proyecto de Universidades DroneTinder. Hay más disponibles.

La idea es tan sencilla como crear bots de vigilancia que se conectan a Tinder y se anuncian en una determinada ubicación. A partir de ese momento solicitan saber quién está en un rango de una milla de distancia de esa zona. Usando otros bots en paralelo y jugando un poco con las distancias, y las listas de resultados que aparecen en cada petición que hace un bot en una ubicación GPS, es posible acotar mucho las zonas.

Figura 4: Múltiples bots y múltiples mediciones para acotar una zona

Esto permitiría que por ejemplo, alguien pusiera un sistema de vigilancia con DroneTinder en Telefónica, y viera quién usa el Tinder en esa ubicación en todo momento o, como hicimos nosotros, en la ubicación de la Hacr0n de este viernes.

Figura 5: Creación de una zona de vigilancia en una ubicación concreta con DroneTinder

También, por supuesto, una vez que se localiza el ID de una persona en Tinder, se pueden obtener sus fotos públicas, sacar su identidades en otras redes sociales, y lo que es más sensible, crear un Virtual Drone de seguimiento de esa persona que la vigile 24 x 7. De tal manera que cada vez que se mueva esa persona, el sistema recalcula su ubicación y se mueve con ella.

Figura 6: Vigilancia de un objetivo (es una cuenta nuestra) con DroneTinder

Al final, todas las ubicaciones que hayan sido reportadas a Tinder serán localizadas por el Virtual Drone y tendrá un mapa exacto de tu vida. Probablemente dónde vives, ya que será la ubicación donde más veces se utilizará Tinder o, probablemente, dónde sales de fiesta.

Figura 7: Descripción de Drone Tinder en Vídeo

En el vídeo podéis ver un resumen de cómo funciona el proyecto que ha implementado nuestro compañero Julio García, pero seguramente que pronto haremos alguna otra sesión para explicarlo más en detalle y publicaremos un artículo con los detalles del proyecto completo.

Haz tú uno

Si te apetece algún Proyecto de Fin de Carrera, Fin de Grado o Fin de Curso, o quieres participar en alguno de nuestras ideas, tenemos abiertos Proyectos Universitarios en ElevenPaths y Proyectos Universitarios en LUCA.

Saludos Malignos!

¡Ojo con los acosadores en Tinder! En cada Match entregas tu ubicación GPS exacta...forever!!!

Debo reconocer que soy una de las víctimas de la aplicación de citas por excelencia, Tinder. Gracias a este servicio pensé que encontraría a mi pareja ideal, pero lo que no imaginé nunca es que la podría encontrar hasta con la ubicación precisa del GPS una vez que hubiéramos hecho Match. Y sí, ésta es la historia que os voy a contar hoy sobre Tinder y el peligro de toparse con un acosador/a.

Figura 1: Ojo con los acosadores en Tinder

Hace más de 6 años que me dedico a la seguridad de la información y ayudando a un amigo a fortificar la API de su aplicación hablamos de la posibilidad de auditar cómo lo hacían otras aplicaciones más famosas. Así surgió la idea de crear una versión web de Tinder usando su propia API (que no es pública) escuchando las llamadas mediante el Proxy Charles.

La fecha de nacimiento "ofuscada" de tus Match

Marc se tomo su proyecto en serio, trasteando las entrañas de la API y de la aplicación hasta que tuvo una versión web bastante funcional pero que revelaba varias cosas interesantes. La primera es que la API de Tinder no te dice la edad de los pretendientes y tus match. La API te muestra una fecha de nacimiento de las personas con la que has hecho Match. La fecha variaba casi a cada petición, pero variaba dentro de un rango de unos 7-10 días. Sacar la fecha de verdad es un ejercicio de buscar el día medio del conjunto de resultados obtenidos. No parece rocket science.

Figura 2:  La fecha de nacimiento varía. No es la exacta

Esto no nos pareció muy bueno a nivel de privacidad, pero al menos se introducía un error para los fisgones como nosotros y evitaba que alguien pudiera responder a alguna de las "preguntas de seguridad" de sitios online que piden tu fecha de nacimiento exacta con solo una petición.

La ubicación GPS de tus Match exacta. La PoC.

La segunda cosa nos sorprendió aún más y es algo más creepy. La aplicación móvil muestra la distancia hasta tus Match, pero la API muestra unas coordenadas GPS. ¿Cómo? Sí, la API de Tinder muestra las coordenadas de tus Match. Importante decir que esto no sucede con los candidatos, pero sí con las personas que has hecho Match.

Figura 3: Tinder devolvía la ubicación exacta en la que estaba el perfil de "nuestra" María

Como buenos investigadores, nos armamos de valor y decidimos cambiar nuestra sexualidad (virtual) por la ciencia, para hacer una prueba empírica. Forzamos que la API nos encontrara, hicimos Match et voilà. Aquí no había margen de error como en la fecha de nacimiento. En este vídeo tienes la PoC que hemos hecho en el que se ve cómo se obtiene la ubicación exacta GPS de los Match.

Figura 4: Vídeo del PoC accediendo a la localización GPS exacta de los Match en Tinder

La API cuando me buscaba a mí como Match no le dijo a Marc que estaba a escasos metros de él. La API le mostraba las coordenadas GPS del salón de mi casa donde nos encontrábamos. Seguimos investigando y descubrimos que la API de Tinder devuelve las coordenadas de la última conexión de tus Match (o de la más reciente en la que Tinder tomó la ubicación).

¿Cómo se puede permitir semejante agujero de privacidad? 

A uno se le pasa lo peor por la cabeza pensando en ¿cuánta gente ha encontrado esto antes que nosotros y lo ha utilizado con algún otro fin? Si se va realizando en distintas días, horas y momentos podría indicarte donde vive alguien, donde trabaja, donde está de vacaciones o si duerme en casa de otro Match. Esto es lo que explicaba Chema Alonso con su "Tinder Bot de espionaje" pero sin necesidad de triangular, ya que se conoce exactamente la posición GPS.

Figura 5: Tinder recoge la ubicación GPS de tu terminal y la entrega exacta a tus Match

Esto no se trata de un acceso ilegítimo a los servidores de Tinder, sino sencillamente de interceptar los mensajes que se intercambia tu aplicación con los servidores, un error de diseño muy grave. Lo primero que hicimos fue informar a Tinder de nuestro descubrimiento. Si el sistema de cálculo de pretendientes ya está bien implementado (al menos algo mejor), ¿por qué el sistema de Match no? Tendría que ser fácil de implementar. El e-mail que mandamos el 29 de Mayo de 2016 a Tinder fue el siguiente:

Hopefully you already know about this, but I've been using Charles proxy to inspect the traffic coming in and out of Tinder and I've found a way to get the physical position of all the matches. When the profile of a match is accessed, this request is fired: https://api.gotinder.com/user/matches/whatever_match_id, and inside the response there are the following parameters ->

"pos": { "lon": longitude_value,
"lat": latitude_value,
"at": time}

I tested this with a friend of mine and the position was very precise. I find this information very dangerous depending on who uses it and I also don't see the need of sending it back to the user, there is no need to know the exact position of your match. My suggestion would be to do as you already do in the recommendations and send distance in miles instead.

I hope you'll take this into consideration.

Cheers,
Marc

Su respuesta fue casi inmediata y seguramente automatizada, Thanks for your feedback!. Casi 3 meses después no han realizado ningún cambio y la aplicación web de Marc sigue funcionando y sigue ayudando a encontrar a tu pareja ideal hasta por GPS. Es por eso que hemos decidido contar nuestro descubrimiento y liberar el código de la PoC, que situaría a tus Match en un mapa.

Figura 6: PoC de Tinder Web

Nuestra intención es concienciar de la falta de privacidad de la aplicación y el peligro que puede comportar su uso. Si alguien quiere usar la PoC debe ser consciente que no se ha creado una aplicación "siguiente, siguiente, siguiente" para script kiddies sino que se requieren conocimientos algo avanzados para instalarla y hacerla funcionar correctamente. Tienes toda la información en su GitHub.

Conclusiones Final

Creo que muchos nos odiarán si baja el número de usuari@s, pero espero que alguien también agradezca ver lo que pasa entre unos y ceros. Nos gustaría que Tinder nos siga ayudando a encontrar pareja, aunque preferimos que sólo nos diga la distancia y no que le de la ubicación GPS a todo el mundo al que hemos hecho Match alguna vez.


Figura 7: Automatic Tinder Match regala tu ubicación GPS a tod@s
Eso sí, mientras tanto, ten cuidado de ser de esos que van dando Match de forma automatizada a todo el mundo, ya que cada vez que haces eso le estás compartiendo a esa persona la posibilidad de seguir tu ubicación GPS exacta en todo momento, lo cual no es lo mejor si das con un/a acosador/a.

Autores: Marc & Oriol Martínez (@brutnatural)

Haz tu Proyecto de Fin de Grado/Máster con Eleven Paths #Universidad #PFC #PFM

Como sabéis yo soy un amante del mundo de la educación, así que desde hace unos meses he estado pinchando a mis compañeros del laboratorio de Eleven Paths para que abriéramos una campaña de ayuda a los que jóvenes que están acabando sus estudios y tienen que elegir un Proyecto de Fin de Máster o Proyecto de Fin de Grado, y por fin este viernes se publicó la primera fase de esta iniciativa.

Figura 1: Haz tu Proyecto de Fin de Grado/Máster con Eleven Paths

Hemos abierto 10 Proyectos de Fin de Grado o Máster, para 10 estudiantes que estén en esa fase de sus estudios. Lo que intentamos es ayudarte a realizarlo, al tiempo que colaboramos con material, libros, licencias de software y apoyo de uno de nuestros compañeros, para que lo lleves a buen término.

Figura 2: Página de los diez proyectos publicados en Eleven Paths

Algunos de estos proyectos tienen que ver con nuestras tecnologías, otros no y simplemente son ideas nuestras que nos parecen interesantes para estudiar. Seguro que casi todas, si eres un seguidor atento de este blog o de nuestro trabajo en Eleven Paths, te sonaran. Esto son los 10 proyectos que hemos elegido, por ahora, solo para estudiantes de Universidades Españolas. Tienes más información de cada uno de ellos en la web de los proyectos.

Figura 3: Primeros cuatro Proyectos disponibles

Figura 4: Segundos cuatro proyectos disponibles

Figura 5: Proyectos 9 y 10 publicados

Si la iniciativa funciona bien, habrá una segunda tanda de selección y seguramente lo extenderemos a otros países de latinoamérica. De momento, si quieres participar en esta campaña debes enviarnos un correo electrónico a university@11paths.com con la información siguiente:

- Nombre
- Universidad en la que estás cursando los estudios
- Titulación
- Nombre del profesor/tutor (si lo tienes ya asignado)
- Proyectos en los que estarías interesado

Con estos datos, nos pondremos en contacto contigo y te informaremos de los siguientes pasos. Y cuando lo acabes, directamente estarás en un proceso de selección de Eleven Paths para ver si acabas haciendo prácticas o trabajando con nosotros.

Saludos Malignos!

SwipeBuster: Cómo descubrir si alguien usa Tinder

Muchas son las polémicas producidas por la aplicación Tinder. Este servicio montado sobre la red social Facebook para conseguir ligar con personas que están cerca es una auténtica revolución entre la gente que busca el amor en las cercanías. Pero unir perfil de Facebook, ubicación GPS y una aplicación móvil no siempre es una gran idea para la seguridad y privacidad personal. Hoy toca hablar sobre cómo descubrir si alguien está utilizando o no Tinder, lo que para las parejas desconfiadas puede ser de interés.

Figura 1: SwipeBuster: Cómo descubrir si alguien usa Tinder

Hace tiempo ya le dediqué un artículo a Cómo te pueden vigilar constantemente por utilizar Tinder, ya que, al final, siempre que alguien te busque en la cercanía podrá encontrarte con solo pasar de un perfil a otro hasta que aparezcas. La idea es que con Tinder se puede:

1.- Automatizar la búsqueda de perfiles cerca de ti.

2.- Elegir una ubicación con un Fake GPS y saber quién está allí.
2.- Triangular la ubicación de una persona si la localizas en una ubicación.
3.- Una vez que lo has localizado, puedes seguirlo como si fueras un drone.

Figura 2: Automatización de búsqueda de perfiles cerca de una ubicación

Con estas posibilidades no faltaría quién diera el siguiente paso y decidiera hacer negocio con ello. La idea es tan sencilla como que si puedo elegir una ubicación GPS falsa con un FAKE GPS y se puede automatizar la búsqueda de perfiles en esa ubicación, el siguiente paso natural es que se pueda buscar si una persona que está en una determinada ubicación GPS está utilizando Tinder.

Figura 3: Localización de ubicación de un perfil en Tinder

Es decir, supongamos que una persona sale de cena de trabajo con sus compañeros por Madrid y, sin que lo sepa su pareja, saca el Tinder y empieza a buscar relaciones temporales de corta duración pero alta intensidad en la zona. En esta situación, su pareja, desde casa, podría estar utilizando un sistema que buscar si un determinado perfil de Facebook está asociado a una cuenta de Tinder que está en uso en una determinado ubicación GPS.

Figura 4: Servicio Swipebuster para saber si una cuenta usa Tinder en una ubicaicón

Este es el servicio que da la web Swipe Buster es tan simple como eso. Dar un nombre de una cuenta de Facebook, la ubicación GPS aproximada de dónde fue la última vez que pudo haber utilizado Tinder, y listo. En esta animación explican el servicio.

Figura 5: Funcionamiento del servicio de SwipeBuster

Eso sí, este servicio es de pago, pero el funcionamiento es bastante sencillo de entender y puedes construirte tu propio servicio de detección de perfiles de Facebook utilizando Tinder en una determinada ubicación GPS. Al final, unir ubicación GPS y cuentas de redes sociales no suele ser una gran idea desde el punto de vista de privacidad.

Saludos Malignos!

Cómo te pueden vigilar constantemente por usar Tinder

Tinder, para los que aún no lo conozcáis, es una red social creada sobre los perfiles de Facebook para ligar con personas que se encuentran cerca de nosotros y que funciona a través de una app para dispositivos móviles - actualmente iOS y Android -. El funcionamiento es tan sencillo como abrir la app y ver como en ella nos van apareciendo recomendaciones de gente cercana a nuestra posición GPS. Con cada recomendación aparece una fotografía  de perfil y otros datos personales y basta con decir si nos gusta o no. Si nosotros hemos indicado que una persona nos gusta, y esa persona ha hecho lo mismo con nosotros, se establece un “match”, que pasa a habilitar la opción de chat entre las dos cuentas.

Figura 1: Cómo te pueden vigilar constantemente por usar Tinder

Como os podéis imaginar, no hay nada más atrayente para un investigador que dedicar tiempo a ver las posibilidades que ofrece este sistema y que como veremos son muchas.

Ligar capturando muchos matchs

La primera idea, y que ha llevado a muchos a estar todo el día con la app, es la de dar masivamente me gusta a todos los perfiles. Luego, con los matchs que se consigan ya se irán haciendo filtrados, pero el razonamiento básico es "cuantos más me gusta más posibilidades de que alguien acepte". Hay gente que ha pasado horas y horas dándole al me gusta para ver si alguna aceptaba, esperando poder automatizarlo de alguna gente.

Este, por supuesto, ha sido el deseo de mucha gente con esta app, y han salido muchas distintas aproximaciones. Nuestro compañero de Eleven Paths Javier Espinosa se dedicó a hacer uso de MonkeyRunner del SDK de Android, se hizo el Automatic Tinder Hack que puedes ver en este vídeo para tener al sistema dando "Me gusta" a toda sugerencia que le aparecía por pantalla.

Figura 2: Automatic Tinder Hack con MonkeyRunner

Algo más sutil fue el truco de un joven emprendedor de Wayra centrado en el Growth Hacking que me propuso hacer al más sutil como poner en todas las fotos de su Facebook mensajes de texto del tipo "Recomendado del día por Tinder" o "Perfect Match for you". Después, a todas las que aceptaban el match el trabajo consistía en utilizar el gancho de "a mí también me ha recomendado Tinder tu perfil".

Más gracioso, sin duda, fue el hacker que consiguió hacer Match entre cuentas de hombres por medio de un bug que localizó en la app, y le permitió generar un montón de ruido entre los pobres que cayeron en la broma.

La API de Tinder "Reverseada"

Por supuesto, desde que se publicó a finales del año pasado el reversing que se hizo de la API de Tinder, muchos han podido automatizar todo tipo de acciones con scripts en Python, Perl, aplicaciones web - como esta para hacer me gustas masivos a ciegas - o incluso Visual Basic Script para Excel. El fichero que se ve en la imagen siguiente es un código en VBA que permite descargar la información de todas las sugerencias en tablas Excel para conocer todos los datos de la gente que esté cerca.

Figura 3: Un programa en VBA para crear una base de datos con perfiles Tinder

Muchas son las utilidades que se pueden hacer mezclando datos de Facebook, ganas de ligar - que si no para que se saca la gente una cuenta de Tinder -, y la ubicación GPS, y esto ha hecho que muchos se den cuenta de las verdaderas posibilidades.

Vigilar un lugar y saber quién está en él en cada momento

Hace tiempo, Dave Aitel publicó en su blog un artículo haciendo un experimento la mar de curioso. Su idea fue utilizar Tinder para saber quién estaba en determinados sitios de alta seguridad, y para eso, utilizando FakeGPS se dedicó a cambiar la ubicación GPS de su terminal por la de edificios de la CIA y la NSA americana.

Figura 4: Perfiles descubiertos con cuentas Tinder en ubicaciones de CIA y NSA

Este experimento se puede hacer en cualquier ubicación, y si recordáis el post dedicado a saber si los vecinos de tu nuevo piso merecen la pena o no, este truco podría ser de gran utilidad. Pero el numero de posibilidades es alto. Un jefe podría saber si sus empleados - de los que sabe que usan Tinder - han ido al trabajo o no, o unos padres podrían saber si sus hijos están en la Universidad, una ciudad o en "casa de Marta para estudiar esta noche", como le habían dicho. O lo que es mucho pero, un atacante podría saber quién está y quién no está en el edificio.

Tinder - Finder: Localizar el sitio en que está una persona por Trilateración

Mucho peor que eso, es posible saber la localización de una persona haciendo varias mediciones y aplicando un algoritmo de trilateración.  Es lo que se proponía para este artículo, utilizar este algoritmo para saber dónde esta una persona haciendo tres mediciones y esto se puede hacer fácilmente. Hay que tener en cuenta que la app de Tinder también muestra la distancia a la que se está de otra persona cuando vemos su perfil, para que sea mucho más fácil tomar una decisión, y es ahí donde está la gracia.

¿Cómo conoce Tinder estas distancias? Pues tan sencillo como que cada vez que el usuario de la app se mueve, desde el smartphone se envía la nueva posición GPS a los servidores de Tinder para que se ocupen de hacer nuevos cálculos de distancia con otras nuevas personas que se encuentren de nuevo a la distancia adecuada.

Figura 5: Función Ping en la API de Tinder para reportar la nueva ubicación GPS de un perfil

En la API de Tinder existe la posibilidad de enviar la posición por medio de programación, así que utilizando la función ping se puede cambiar tres veces de posición y pedir nuevas sugerencias. Esto es lo que aplica la herramienta Tinder Finder, que se aprovechaba del uso datos exactos en las respuestas de Tinder. Hoy en día no son tan exactos los datos, pero aún así se sigue pudiendo sacar una ubicación bastante aproximada.

Figura 6: Calculo de ubicación GPS de un perfil de Tinder por Trilateración

Por supuesto, cuando la persona vigilada salga en las sugerencias recibidas en las tres ubicaciones utilizadas con tres distancias diferentes, el resto será tirar un poco de matemáticas y averiguar la posición GPS de la persona.

Drones de vigilancia 24 x 7 como Bots en Tinder

A partir de este momento, la cosa se complica mucho más. Cuando se publicó el artículo de Dave Aitel sobre usar FakeDNS junto con Tinder, nosotros en Eleven Paths tuvimos un debate interno, y se nos ocurrió que sería muy fácil crear una cuenta Bot que hiciera de Drone de Vigilancia y que estuviera vigilando a una persona 24 horas al día.  Con Tinder Finder se implementó ya el servicio de localización de personas, aplicando el algoritmo de localización por trilateración, así que el resto es automatizarlo de manera persistente.


Figura 7: Funcionamiento de Tinder Finder
Bastaría con localizarla en una posición - con el algoritmo de trilateración anterior - y a partir de ese momento, situar la posición de nuestra cuenta de vigilancia en la posición del objetivo a vigilar. Periódicamente volver a calcular la posición del objetivo de vigilancia y si la distancia entre la cuenta Drone de vigilancia y la cuenta vigilada es mayor de 20 metros, volver a calcular la posición de la cuenta objetivo y volver a situar la cuenta Drone de Vigilancia sobre ella.

Vigilancia comercial 24 x 7 o Vigilancia de Seguridad 24 x 7

De esta manera tan sencilla se pueden estar vigilando lugares o personas, y es sencillo automatizar este proceso. Es posible crear una base de datos realmente gigante de gente que pasa por un lugar, o incluso vigilar a personas concretas para ver hacia donde se dirige o donde ha estado en un determinado momento. Ahora supongamos que vas a un centro comercial, en el que toman todos los datos tuyos, tal y como os conté en el artículo de cómo te puede espiar tu centro comercial por WiFi y BlueTooth, y el centro comercial tiene un Drone de vigilancia en Tinder del lugar que se dedica a:

1) Ver todos los perfiles Tinder que entran en la tienda.
2) Crear un Drone de seguimiento en Tinder para todos y cada uno de los clientes que pasa a espiarle el resto de su vida para alimentar el Big Data

O mejor, supongamos que en una manifestación de protesta pública se mira que perfiles están en la ubicación GPS, por trilatetaración se sacan los perfiles con una aproximación de metros. Una vez que se sabe quién estaba en la manifestación, se le pone un Drone de vigilancia en Tinder y listo.

Conclusiones

Esta mezcla de Tinder+Facebook+GPS es explosiva, y tienes que tener cuidado porque, en el momento en que te hagas usuario de esta aplicación - o cualquier otra similar - puedes estar bajo vigilancia continua por cualquiera, con el consiguiente riesgo para tu privacidad. La gente podría saber si estás en casa o no o dónde te encuentras en cada momento.

Saludos Malignos!