Buscamos el amor por internet desde antes que estuviera poblado con videos de gatitos (no tengo pruebas, pero conocí MoPilot.com). Es una consecuencia natural que todo tipo de medio digital dirigido al relacionamiento humano sea objetivo de todas las amenazas de ingeniería social existentes, con un amplio abanico de vectores de ataque que van desde las estafas hasta la sextorsión y el bagre, por mencionar algunos. Sin embargo, no todas las amenazas tienen una causa raíz en las vulnerabilidades propias de los humanos.
Existen ciberdelincuentes sin la paciencia para engaños que requieren interacción humana real a través del tiempo y esto no es un impedimento para realizar todo tipo de actividad maliciosa bajo la misma motivación monetaria en la que actúan los ingenieros sociales. Así que, cabría preguntarnos ¿cómo puede un chatbot encontrar un amante? ¿Cómo se automatiza un ataque cuando el motivo es el amor? Aquí revisaremos algunos vectores de ataque posibles para conocer cómo el amor puede volverse una técnica ofensiva.
Explotando
En palabras llanas, nivel global, el amor es otro nicho de mercado, uno universal. Debido a esto, es normal que la estructura dichas aplicaciones e incluso, sitios web conserven de fondo algunas funciones y flujos de las aplicaciones de tienda en línea, con tecnologías conocidas en su infraestructura: Kotlin, MySQL, mongoDB, React, Laravel, AWS ( EC2, S3), Google Analitics son algunos componentes de las aplicaciones de citas más populares actualmente.
Esto se traduce directamente en vulnerabilidades conocidas, por ejemplo, en los últimos tres años, aplicaciones como Bumble, Tinder y Grndr han resultado vulnerables al mismo ataque de seguimiento de ubicación, que permitió a un atacante determinar la ubicación exacta de cualquier mediante dos técnicas: envío de múltiples solicitudes a un mismo usuario, cada una de las cuales parecía provenir de una ubicación diferente. Esto permitió múltiples estimaciones de la distancia de un objetivo desde estos lugares separados e hizo posible calcular la ubicación exacta de una persona mediante triangulación, la segunda era a través de solicitudes manipuladas a algunas de sus API, cuando la información del ID de usuario era conocida.
Pero no es el único ataque a infraestructura posible para este tipo de aplicaciones, desde el 2015 con Ashley Maddison, las intrusiones que terminan en la exposición de gigas de información de los usuarios parecen ser recurrentes. La divulgación de la aplicación 419 Dating – Chat & Flirt es un evento reciente donde el vector fue una aplicación de base de datos sin protección, causante de la exposición de 340.6 GB donde un único registro de copia de seguridad contenía 236,681 direcciones de Gmail, 15,703 cuentas de Yahoo Mail, 3,872 direcciones de iCloud y archivos del kit de desarrollo de software (SDK), que son paquetes o colecciones de herramientas de software, bibliotecas, documentación y recursos que los desarrolladores utilizaron para crear esta aplicación, lo que podría conducir a la creación de aplicaciones con vulnerabilidades o funcionalidades maliciosas ocultas basadas en 419 Dating.
Desde el punto de vista ofensivo, BOLA (Autorización de nivel de objeto roto) por el lado de las API o Autenticación faltante para función crítica para la base de datos, son dos vectores comunes y nada particular para aplicaciones de citas. Sin embargo, contextualizando el hecho de que hay regiones en el mundo donde hoy en día la homosexualidad o el escorting pone en riesgo la vida o integridad de seres humanos reales, tener este tipo de explotaciones es sumamente delicado.
Smart Matching
El uso de aprendizaje automático es ampliamente utilizado para las aplicaciones de citas. A través de este tipo de aprendizaje, las aplicaciones preguntan a los usuarios si desean visualizar imágenes en varias categorías: específicas, armas, etc. Además, permiten verificar si un usuario registrado es un humano real a través de multimedia solicitada al momento del alta de la cuenta. El lado ofensivo se pone a la par y este aprendizaje se utiliza cada vez con más frecuencia como primer paso para estafas avanzadas que decantan en la distribución de aplicaciones de malware, robo de datos bancarios y otros motivos comunes, creando un bypass para la identificación de usuarios reales y creación de cuentas falsas mediante medios audiovisuales.
Ejemplo de esto es son las Redes Generativas Adversarias, arquitecturas que entrenan modelos generativos y son refinadas mediante modelos discriminativos para producir un resultado “nuevo” a partir de datos existentes, su objetivo es generar datos nuevos y sintéticos que se asemejen a alguna distribución de los datos conocidos con aprendizaje sin supervisión. Para que éstas funcionen, deben entrenarse, mostrándoles millones de muestras (imágenes, video o audio) de lo que se busque generar, con el fin de que puedan aprender de esta información y comenzar a “crear” al punto de “engañar” a los algoritmos discriminativos de las aplicaciones de citas para generar perfiles falsos a pesar del uso de funcionalidades Selfie Verification, dentro de las Apps.
Sin olvidar a LoveGPT, un chatbot especializado en aplicaciones de citas, que puede pasar los filtros de spam de las aplicaciones, enviar “me gusta”, leer respuestas de posibles coincidencias y crear perfiles creíbles de manera automatizada pasando por el bypass de CAPTCHA y la verificación de correo electrónico y teléfono. Para ocultar su actividad maliciosa, LoveGPT utiliza herramientas de anonimato como AdsPower, FraudFox y Kameleo y apartir de marzo, con su integración con ChatGPT, logra la efectividad de los perfiles granulándolos por tipo de aplicación de citas: viajes, romance, amistad, conexiones, etc.
La tecnología de OpenIA es relativamente reciente, sin embargo, este tipo de chatbots ha estado presente en las aplicaciones de citas con registros de más de una década, de acuerdo con los laboratorios de investigación de AVAST.
Fecha maliciosa
Esta tal vez sea la amenaza más obvia pero no por eso más fácil de identificar: una aplicación de citas con finos maliciosos dentro de su constitución, un estudio de Kasperksy revela que las aplicaciones de citas son la temática en cuarto lugar para introducir malware dentro de la tienda de Google Play, con toda una economía detrás donde la venta de la infraestructura de estas aplicaciones se lleva a cabo en la DarkWeb, como si se tratara de un honeypot: recolección de información financiera, datos personales y comando y control.
En una búsqueda, la palabra clave “citas” reveló 1,963 archivos maliciosos únicos disfrazados de aplicaciones (apps) legítimas mayoritariamente: Tinder y Badoo. La criticidad radica en los Múltiples vectores que se pueden desplegar de estos archivos una vez descargados: Aplicaciones que emulan funciones del sistema operativo renombrándose como “Configuración”, las que logran vincularse con aplicaciones de banco solicitando permisos a los usuarios como la aplicación de citas, las que conservan toda la interfaz de la aplicación mientras instalan malware, etc.
Un ejemplo de lo anterior, es el grupo APT Arid Viper, centrado en hablantes árabes que emuló exitosamente una versión maliciosa de la aplicación. Saltado y la distribuyó a través de Google Play hace unos meses para realizar la descarga de un módulo C2 (comando y control) desde una fuente externa. El malware pudo deshabilitar las notificaciones de seguridad y recopilar información del dispositivo, además de instalar otras aplicaciones en el dispositivo. Esta campaña estuvo activa cerca de un año antes de ser removida de la tienda.
Encontrar el amor en medios digitales es, en efecto, difícil. Si es más o menos difícil que en las interacciones físicas del día a día, es subjetivo. Pero, sin duda, incluya los riesgos propios del ciberespacio, las estafas especializadas y el hecho de que no hay medidas 100% efectivas para permanecer seguros, abre la posibilidad de mejor unirnos al lado oscuro y apropiarnos de estas técnicas ofensivas: utilizar LoveGPT para practicar conversaciones románticas y la triangulación de GPS para saber dónde hay más personas solteras y asistir a esos bares locales ¿por qué no?. En la guerra y en el amor, todo es válido, dicen por ahí.