- Un grupo de hackers asegura haber accedido a sistemas internos de Match Group, matriz de Tinder y Hinge.
- La compañía investiga el incidente y afirma que no hay evidencias de filtración de contraseñas ni datos financieros.
- Los atacantes hablan de vishing, Okta y AppsFlyer; ambas empresas niegan que sus plataformas hayan sido vulneradas.
- La posible filtración incluye identificadores publicitarios, datos de cuentas y documentos internos, con riesgo para la privacidad en Europa y el resto del mundo.
El supuesto hackeo a Tinder y Hinge ha vuelto a poner bajo la lupa la seguridad de las grandes aplicaciones de citas a nivel global, un asunto especialmente sensible en mercados como España y el resto de Europa, donde el uso de estas plataformas está muy extendido y la protección de datos personales se rige por el estricto Reglamento General de Protección de Datos (RGPD).
Lo que en un principio parecía un incidente más de ciberseguridad se ha convertido en un caso complejo que mezcla acceso no autorizado a sistemas internos, acusaciones cruzadas entre empresas tecnológicas y dudas sobre el alcance real de los datos comprometidos. Mientras tanto, millones de usuarios que utilizan Tinder, Hinge, OkCupid o Match para ligar se preguntan qué ha ocurrido realmente con su información.
Qué ha reconocido Match Group sobre el hackeo a Tinder y Hinge
La compañía matriz, Match Group, propietaria de aplicaciones como Tinder, Hinge, OkCupid, Match y Plenty of Fish, ha confirmado que está investigando un incidente de seguridad tras las afirmaciones de varios grupos de ciberdelincuentes que aseguran haber penetrado en sus sistemas internos y accedido a datos vinculados a usuarios.
Según ha explicado un portavoz de la empresa a medios como Mashable, el incidente fue detectado recientemente y los equipos de seguridad de Match Group actuaron con rapidez para interrumpir el acceso no autorizado. La compañía insiste en que se toma muy en serio la protección de la información, y que ha recurrido a expertos externos en ciberseguridad para analizar lo ocurrido con detalle.
De acuerdo con las versiones oficiales, los primeros hallazgos apuntan a que los atacantes no habrían conseguido llegar a contraseñas de usuario, datos financieros ni mensajes privados. Es decir, no habría pruebas concretas de que se hayan visto comprometidas credenciales de inicio de sesión, información bancaria o las conversaciones más sensibles que los usuarios mantienen dentro de las apps.
Aun así, Match Group ha admitido que el incidente podría afectar a una cantidad limitada de datos de usuarios, sin especificar por el momento cuántas cuentas podrían estar implicadas. La empresa asegura que ya está en marcha el proceso de notificación a las personas potencialmente afectadas, en línea con lo que exigen normativas como el RGPD en Europa cuando se producen incidentes de seguridad relevantes.
Desde la dirección de la compañía se ha buscado transmitir un mensaje de calma, recordando que, por ahora, todo indica que el ataque habría tenido alcance parcial y se habría frenado antes de comprometer los elementos más críticos de las cuentas. Sin embargo, la falta de cifras concretas y la aparición de distintas bandas de hackers adjudicándose la acción mantienen la inquietud entre usuarios y reguladores.
Quiénes son los hackers y qué dicen haber robado
El caso saltó al primer plano tras una investigación del medio especializado 404 Media, que informó de que un colectivo conocido como Scattered LAPSUS$ Hunters se atribuía el robo de una amplia cantidad de documentos internos de Match Group y datos asociados a usuarios de aplicaciones como Tinder y Hinge.
Según este medio, los periodistas llegaron a descargar y revisar parte de la información publicada por los atacantes, comprobando que incluía identificadores de publicidad únicos de algunos usuarios, recibos corporativos y otros documentos internos relacionados con la operativa de la compañía. Se trataría, en buena medida, de datos utilizados para analítica de marketing y gestión interna, más que de credenciales directas de acceso.
En paralelo, otro grupo de ciberdelincuentes, ShinyHunters, ha afirmado disponer de hasta 10 millones de registros vinculados a aplicaciones de Match Group, en concreto de Hinge, Match y OkCupid, además de lo que describen como “cientos de documentos internos” adicionales. Estas afirmaciones han sido analizadas por investigadores de ciberseguridad, que han detectado muestras con información de cuentas y actividad.
Entre los datos que se habrían visto expuestos, los analistas mencionan elementos como identificadores de transacciones (relacionados con pagos por funciones premium), direcciones IP, ubicaciones geográficas aproximadas, nombres completos y otros metadatos. En el caso particular de Hinge, las muestras incluyen supuestamente registros de coincidencias y textos de perfiles de citas, lo que podría facilitar la identificación de personas concretas y abrir la puerta a intentos de phishing dirigido o chantajes.
Además de información de usuarios, los conjuntos de datos revisados incorporarían detalles de empleados e información corporativa, como contratos entre socios o documentación de otros servicios vinculados al ecosistema de Match Group. Entre esos materiales aparecen referencias a aplicaciones asociadas o regionales, lo que sugiere que el incidente afectaría a varias líneas de negocio y no únicamente a Tinder.
Los especialistas consultados por publicaciones como Cybernews han señalado que, aunque las muestras publicadas en la dark web no sean masivas, existe la posibilidad de que los atacantes dispongan de un volumen de datos mayor de lo que se ha hecho público hasta ahora. Por este motivo recomiendan precaución, especialmente en regiones como Europa donde los perfiles de usuarios de apps de citas suelen ir acompañados de información personal muy detallada.
Cómo se habría producido el ataque: vishing y acceso a proveedores
Uno de los aspectos más llamativos del supuesto hackeo a Tinder y Hinge es el método descrito por los atacantes para lograr el acceso. El grupo que se hace llamar Scattered LAPSUS$ Hunters asegura que el punto de entrada fue una campaña de vishing, una técnica de ingeniería social basada en llamadas telefónicas de engaño a empleados o colaboradores.
En este tipo de ataques, los ciberdelincuentes se hacen pasar por personal de soporte técnico, proveedores de confianza u otras figuras legítimas, con el objetivo de convencer a su interlocutor para que comparta credenciales, códigos de verificación o enlaces de acceso. A diferencia del phishing tradicional, que habitualmente llega por correo electrónico o SMS, aquí la presión se ejerce en tiempo real mediante la voz, algo que suele aumentar el nivel de persuasión.
Según la versión difundida por los hackers, el vishing les habría permitido obtener acceso al sistema de inicio de sesión único (SSO) de Match Group a través de la plataforma de identidad Okta, utilizada por muchas empresas para gestionar el acceso de sus trabajadores a multitud de servicios con una sola cuenta corporativa.
Sin embargo, la propia Okta ha salido al paso de estas acusaciones, asegurando que sus plataformas y servicios no han sido vulnerados. Portavoces de la compañía han explicado que comparten de forma regular información sobre nuevas amenazas con sus clientes, precisamente para ayudarles a defenderse de campañas de ingeniería social en constante evolución, que suelen suplantar a proveedores tecnológicos como excusa para presionar a los empleados.
Otra pieza del puzle la aporta la referencia constante a AppsFlyer, una plataforma en la nube muy utilizada para análisis y atribución de marketing móvil. Tanto Scattered LAPSUS$ Hunters como ShinyHunters han asegurado que parte de los datos robados procederían de esta herramienta, es decir, no directamente de los servidores de Match Group sino de un proveedor externo conectado a su ecosistema.
AppsFlyer, por su parte, ha negado tajantemente haber sufrido una brecha propia o una vulneración de su infraestructura. La empresa insiste en que no ha detectado filtraciones internas y califica como inexactas las afirmaciones que la señalan como origen del incidente. Este cruce de declaraciones entre atacantes y compañías refuerza la idea de que el vector de ataque principal habría sido la manipulación humana más que una falla técnica masiva en un único proveedor.
Impacto potencial en usuarios de Tinder, Hinge y otras apps en Europa
Más allá del relato técnico del hackeo, la gran preocupación gira en torno a qué consecuencias puede tener para los millones de personas que utilizan a diario estas aplicaciones, incluida una base de usuarios muy amplia en España y el resto de Europa, donde Tinder y Hinge se han convertido en herramientas habituales para conocer gente.
En este sentido, la información disponible hasta la fecha apunta a que los datos presuntamente expuestos se centran en metadatos de actividad, identificadores publicitarios y detalles de cuentas, más que en el contenido completo de conversaciones privadas. Sin embargo, eso no significa que el riesgo sea menor: combinando elementos como nombre, ubicación, IP, historial de pagos o textos públicos del perfil, es relativamente sencillo trazar un retrato bastante preciso de una persona.
Este tipo de información resulta especialmente valiosa para campañas de phishing o estafas personalizadas, en las que los delincuentes pueden enviar mensajes muy verosímiles haciéndose pasar por la propia app, por un banco o por otro servicio en línea. Un usuario que sabe que ha habido un incidente con Tinder o Hinge puede bajar la guardia si recibe un correo que parece de soporte técnico pidiéndole “verificar su cuenta” tras el hackeo.
En el contexto europeo, cualquier brecha que afecte a datos de ciudadanos de la UE obliga a las empresas implicadas a notificar a las autoridades de protección de datos y, en muchos casos, a los propios usuarios. Si se confirma que información de usuarios europeos ha sido incluida en los conjuntos de datos filtrados, Match Group podría enfrentarse no solo a un desgaste reputacional, sino también a sanciones regulatorias en función del grado de responsabilidad que se determine.
Además, hay que tener en cuenta la sensibilidad añadida que tienen los datos vinculados a la vida sentimental y sexual de las personas. En Europa este tipo de información puede ser considerada dato especialmente protegido, lo que eleva las exigencias de seguridad que se esperan de las empresas que la tratan. Casos anteriores, como el de Ashley Madison, demostraron el enorme impacto personal y social que puede tener la exposición de este tipo de perfiles.
Reputación, negocio y el papel de la ingeniería social
Desde el punto de vista empresarial, un incidente como el presunto hackeo a Tinder y Hinge no se limita a ser un problema técnico: es una crisis de confianza. Match Group ha construido gran parte de su éxito sobre la combinación de volumen de usuarios, facilidad para encontrar contactos y una promesa implícita de que todo ello ocurre en un entorno razonablemente seguro.
Tinder, considerada la joya de la corona del grupo, genera alrededor de la mayor parte de los ingresos de Match Group y cuenta con decenas de millones de usuarios activos mensuales a escala global. Aun así, la compañía ya venía registrando ciertas fluctuaciones en el número de usuarios de pago, un factor que puede verse afectado si se consolida la percepción de que los datos personales no están del todo protegidos.
En un mercado cada vez más competitivo, donde alternativas como Bumble u otras apps europeas compiten directamente por los mismos usuarios, cualquier señal de debilidad en materia de privacidad puede ser aprovechada por la competencia. No sería extraño ver cómo algunas plataformas tratan de posicionarse con mensajes centrados en la seguridad y en el control de los datos como elemento diferencial.
El caso también refuerza una tendencia que los expertos en ciberseguridad llevan tiempo subrayando: en muchas intrusiones a grandes plataformas, el eslabón más débil ya no es necesariamente la tecnología, sino el factor humano. Las campañas de ingeniería social, vishing y suplantación de identidad a empleados, proveedores y socios se han convertido en uno de los vectores de ataque favoritos de los delincuentes.
Por eso, tanto en Europa como en otros mercados, las autoridades y los reguladores insisten cada vez más en la importancia de que las empresas refuercen no solo sus sistemas, sino también la formación interna y los protocolos de verificación cuando alguien llama o escribe solicitando accesos, códigos o credenciales “urgentes”. El caso de Match Group es un recordatorio más de que un solo descuido en una llamada puede tener consecuencias globales para millones de usuarios.
En conjunto, el presunto hackeo a Tinder y Hinge muestra hasta qué punto las grandes plataformas de citas, muy presentes en la vida cotidiana de España y Europa, se han convertido en un objetivo prioritario para los ciberdelincuentes. Aunque Match Group sostiene que no se han visto comprometidas contraseñas ni datos financieros, la posible exposición de datos de actividad, identificadores y documentos internos abre interrogantes sobre el uso que pueda hacerse de esa información y obliga tanto a la empresa como a los usuarios a extremar las precauciones frente a fraudes y suplantaciones en los próximos meses.
