Buscamos el amor por Internet desde antes que estuviera poblado con videos de gatitos (no tengo pruebas, pero conocí MoPilot.com). Es una consecuencia natural que todo tipo de medio digital dirigido al relacionamiento humano sea objetivo de todas las amenazas de ingeniería social existentes, con un amplio abanico de vectores de ataque que van desde las estafas hasta la sextorsión y el catfish, por mencionar algunos. Sin embargo, no todas las amenazas tienen una causa raíz en las vulnerabilidades propias de los humanos.
Existen ciberdelincuentes sin la paciencia para engaños que requieren interacción humana real a través del tiempo y esto no es un impedimento para realizar todo tipo de actividad maliciosa bajo la misma motivación monetaria en la que actúan los ingenieros sociales.
Así que, cabría preguntarnos: ¿cómo puede un chatbot fingir ser un amante? ¿cómo se automatiza un ataque cuando el motivo es el amor?
Aquí revisaremos algunos vectores de ataque posibles para conocer cómo el amor puede volverse una técnica ofensiva.
Exploiting
En palabras llanas, el amor es otro nicho de mercado, uno universal. Debido a esto, es normal que la estructura en dichas aplicaciones e, incluso, sitios web conserven de fondo algunas funciones y flujos de las aplicaciones de tienda en línea, con tecnologías conocidas en su infraestructura. Kotlin, MySQL, mongoDB, React, Laravel, AWS (EC2, S3), Google Analitics son algunos componentes de las aplicaciones de citas más populares actualmente.
Esto se traduce directamente en vulnerabilidades conocidas. Por ejemplo, en los últimos tres años, aplicaciones como Bumble, Tinder y Grndr han resultado vulnerables al mismo ataque de seguimiento de ubicación, que permitió a un atacante determinar la ubicación exacta de cualquier usuario mediante dos técnicas: envío de múltiples solicitudes a un mismo usuario, cada una de las cuales parecía provenir de una ubicación diferente.
Esto permitió obtener múltiples estimaciones de la distancia de un objetivo desde estos lugares separados e hizo posible calcular la ubicación exacta de una persona mediante triangulación, la segunda era a través de solicitudes manipuladas a algunas de a sus APIs, cuando la información del ID de usuario era conocida.
Pero no es el único ataque a infraestructura posible para este tipo de aplicaciones. Desde el 2015, con Ashley Maddison, las intrusiones que terminan en la exposición de gigas de información de los usuarios parecen ser recurrentes. La divulgación de la aplicación 419 Dating – Chat & Flirt es un evento reciente donde el vector fue una aplicación de base de datos sin protección, causante de la exposición de 340.6 GB, donde un único registro de copia de seguridad contenía 236,681 direcciones de Gmail, 15,703 cuentas de Yahoo Mail, 3,872 direcciones de iCloud y archivos del kit de desarrollo de software (SDK), que son paquetes o colecciones de herramientas de software, bibliotecas, documentación y recursos que los desarrolladores utilizaron para crear esta aplicación, lo que podría conducir a la creación de aplicaciones con vulnerabilidades o funcionalidades maliciosas ocultas basadas en 419 Dating.
Desde el punto de vista ofensivo, BOLA (Broken Object Level Authorization) por el lado de las APIs o Missing Authentication for Critical Function para la base de datos, son dos vectores comunes y nada particulares para aplicaciones de citas. Sin embargo, contextualizando el hecho de que hay regiones en el mundo donde hoy en día la homosexualidad o el escorting pone en riesgo la vida o integridad de seres humanos reales, tener este tipo de explotaciones es sumamente delicado.
Smart Matching
El uso de machine learning es ampliamente utilizado para las aplicaciones de citas. A través de este tipo de aprendizaje, las aplicaciones preguntan a los usuarios si desean visualizar imágenes en varias categorías: explícitas, armas, etc. Además, permiten verificar si un usuario registrado es un humano real a través de multimedia solicitada al momento del alta de la cuenta.
El lado ofensivo se pone a la par y este aprendizaje se utiliza cada vez con más frecuencia como primer paso para estafas avanzadas que decantan en la distribución de aplicaciones de malware, robo de datos bancarios y otros motivos comunes, creando un bypass para la identificación de usuarios reales y creación de cuentas falsas mediante medios audiovisuales.
Ejemplo de esto es son las Redes Generativas Adversarias, arquitecturas que entrenan modelos generativos y son refinadas mediante modelos discriminativos para producir un resultado “nuevo” a partir de datos existentes, su objetivo es generar datos nuevos y sintéticos que se asemejen a alguna distribución de los datos conocidos con aprendizaje sin supervisión. Para que éstas funcionen, deben entrenarse, mostrándoles millones de muestras (imágenes, video o audio) de lo que se busque generar, con el fin de que puedan aprender de esta información y empiecen a “crear” al punto de “engañar” a los algoritmos discriminativos de las aplicaciones de citas para generar perfiles falsos a pesar del uso de funcionalidades Selfie Verification, dentro de las Apps.
No debemos olvidar a LoveGPT, un chatbot especializado en aplicaciones de citas, que puede pasar los filtros de spamming de las aplicaciones, enviar “me gusta”, leer respuestas de posibles coincidencias y crear perfiles creíbles de manera automatizada pasando por el bypass de CAPTCHA y la verificación de email y teléfono. Para ocultar su actividad maliciosa, LoveGPT utiliza herramientas de anonimato como AdsPower, FraudFox y Kameleo y a partir de marzo, con su integración con ChatGPT, podría lograr la efectividad de los perfiles, granulándolos por tipo de aplicación de citas: viajes, romance, amistad, conexiones, etc.
La tecnología de OpenIA es relativamente reciente, sin embargo, este tipo de chatbots ha estado presente en las aplicaciones de citas con registros de más de una década, de acuerdo con los laboratorios de investigación de AVAST.
Malicious Date
Esta tal vez sea la amenaza más obvia, pero no por eso más fácil de identificar, ya que se trata de una aplicación de citas con fines maliciosos dentro de su constitución. Un estudio de Kasperksy revela que las aplicaciones de citas ocupan la cuarta posición en las temáticas para introducir malware dentro de la tienda de Google Play, con toda una economía detrás, en la cual la venta de la infraestructura de estas aplicaciones se lleva a cabo en la DarkWeb, como si se tratara de un honeypot: recolección de información financiera, datos personales y comando y control.
En una búsqueda, la palabra clave “citas” reveló 1,963 archivos maliciosos únicos disfrazados de aplicaciones (apps) legítimas, donde Tinder y Badoo, aparecieron en la mayoría de las búsquedas. La criticidad radica en los múltiples vectores que se pueden desplegar de estos archivos una vez decargados: aplicaciones que emulan funciones del sistema operativo renombrándose como “Settings”; las que logran vincularse con aplicaciones de banco solicitando permisos a los usuarios como la aplicación de citas; las que conservan toda la interfaz de la aplicación mientras instalan malware, etc.
Un ejemplo de lo anterior es el grupo APT Arid Viper, centrado en hablantes árabes que emuló exitosamente una versión maliciosa de la aplicación Skipped y la distribuyó a través de Google Play hace unos meses para realizar la descarga de un módulo C2 (comando y control) desde una fuente externa. En este caso, el malware pudo deshabilitar las notificaciones de seguridad y colectar información del dispositivo, además de instalar otras aplicaciones en el dispositivo. Esta campaña estuvo activa cerca de un año antes de ser removida de la tienda.
Encontrar el amor en medios digitales es, en efecto, difícil. Si es más o menos difícil que en las interacciones físicas del día a día, eso es un tema subjetivo. Pero, sin duda, incluir los riesgos propios del ciberespacio, las estafas especializadas y el hecho de que no hay medidas 100% efectivas para permanecer seguros, abre la posibilidad de mejor unirnos al lado oscuro y apropiarnos de estas técnicas ofensivas: utilizar LoveGPT para practicar conversaciones románticas y la triangulación de GPS para saber dónde hay más personas solteras y asistir a esos bares locales, ¿por qué no?. En la guerra y en el amor, todo es válido, dicen por ahí.
____________________
La autora de este artículo, Fátima Rodríguez, es líder de WOMCY Tech México.