Match Group, matriz de plataformas de citas como Tinder, Match, Meetic, OkCupid y Hinge, ha confirmado un incidente de ciberseguridad tras la publicación de un archivo de unos 1,7 GB por parte del grupo ShinyHunters. Los atacantes afirman haber accedido a alrededor de 10 millones de registros de usuarios de Hinge, Match y OkCupid, además de a cientos de documentos internos corporativos.
Ciberataque a Match Group: alcance de la brecha y respuesta inicial
La compañía ha reconocido la existencia de un acceso no autorizado y asegura que fue bloqueado de forma rápida. Match Group indica que está llevando a cabo una investigación interna con apoyo de expertos externos en ciberseguridad.
Según la evaluación preliminar, los atacantes no habrían accedido a credenciales de inicio de sesión, datos financieros ni conversaciones privadas dentro de las aplicaciones. No obstante, la empresa admite que el incidente afectó a un «volumen limitado de datos de usuarios» y que las personas potencialmente impactadas están siendo notificadas.
Por ahora no se ha detallado con precisión qué tipos de datos se han filtrado ni el número exacto de afectados, ni si ShinyHunters llegó a exigir un rescate. Investigadores de Cybernews, que analizaron muestras del archivo, señalan la presencia tanto de información de usuarios como de documentación interna relacionada con marketing y analítica.
Okta SSO como punto de entrada: AppsFlyer y nubes corporativas comprometidas
De acuerdo con BleepingComputer, el elemento clave del ataque fue la comprometida de una cuenta SSO en Okta. Okta es un proveedor de gestión de identidades que permite a los empleados acceder a múltiples sistemas corporativos mediante Single Sign-On (SSO), es decir, con una sola cuenta y autenticación centralizada.
El control de una cuenta SSO de este tipo otorga a los atacantes una especie de «llave maestra» hacia diversos servicios internos. En el caso de Match Group, el acceso ilegítimo permitió pivotar hacia la plataforma de analítica de marketing AppsFlyer y hacia repositorios en la nube como Google Drive y Dropbox, donde suelen almacenarse informes, exportaciones de datos y documentación operativa.
La captura inicial de credenciales se habría logrado a través de un dominio de phishing, matchinternal[.]com, diseñado para imitar un portal interno de Match Group. Este tipo de dominios se emplea para enviar correos fraudulentos a empleados, redirigiéndolos a páginas de inicio de sesión falsas que recogen usuario y contraseña.
Campaña masiva de ShinyHunters contra organizaciones que usan Okta
ShinyHunters no se habría limitado a Match Group. En los últimos meses, el grupo ha ejecutado una campaña de ataques contra aproximadamente 100 organizaciones, aprovechando datos SSO robados o comprometidos en Okta. Entre las víctimas se mencionan proveedores SaaS de gran tamaño como Atlassian, AppLovin, Canva, Epic Games, Genesys, HubSpot, Iron Mountain, RingCentral y ZoomInfo.
Estos incidentes subrayan el riesgo crítico asociado a la comprometida de proveedores de identidad: una única cuenta SSO comprometida puede abrir acceso simultáneo a decenas de aplicaciones sensibles, desde herramientas de marketing y soporte hasta repositorios de código y documentos internos. Informes como el Verizon Data Breach Investigations Report y el IBM Cost of a Data Breach llevan años destacando cómo el abuso de credenciales es uno de los vectores de ataque más frecuentes y costosos.
Incidente en Bumble: el eslabón débil de la cadena de suministro
Casi en paralelo, ShinyHunters aseguró haber atacado a Bumble, otro importante servicio de citas, publicando unos 30 GB de datos supuestamente extraídos de Google Drive y Slack.
Bumble confirmó el incidente, pero precisó que el origen fue el compromiso de la cuenta de un proveedor externo a través de phishing. La cuenta tenía permisos limitados y se utilizaba para un acceso temporal a una pequeña parte de la red. La empresa afirma que la actividad maliciosa fue detectada y bloqueada con rapidez, y que no se vieron afectados datos de usuarios, cuentas, la aplicación ni mensajes privados.
Este caso ilustra un patrón cada vez más común: incluso si la empresa principal cuenta con controles de seguridad robustos, una debilidad en un proveedor o socio tecnológico puede convertirse en una puerta de entrada eficaz. Este enfoque se enmarca en lo que se conoce como ataques a la cadena de suministro (supply chain attacks), cuya frecuencia y severidad han aumentado de forma sostenida en los últimos años según agencias como ENISA.
Riesgos específicos para usuarios de aplicaciones de citas
Las aplicaciones de citas procesan normalmente información altamente sensible: correo electrónico, teléfono, datos demográficos, intereses, preferencias, a veces geolocalización y detalles sobre la vida personal. Combinados, estos datos pueden utilizarse para extorsión, fraude y campañas de ingeniería social muy dirigidas.
En el incidente de Match Group, la compañía insiste en que ni los mensajes privados ni los datos de pago se han visto comprometidos. Sin embargo, incluso una filtración parcial de datos de contacto y atributos de marketing incrementa notablemente el riesgo de phishing. Un atacante podría enviar correos o mensajes que simulen notificaciones legítimas de Tinder, OkCupid o Hinge solicitando «verificar la cuenta» o «actualizar la forma de pago», lo que facilitaría el robo de credenciales o tarjetas.
Buenas prácticas de ciberseguridad para empresas y usuarios
Medidas prioritarias para organizaciones con Okta y SSO
Para las empresas que dependen de Okta u otros proveedores de identidad, resulta esencial:
- Aplicar MFA resistente al phishing, preferiblemente con llaves físicas FIDO2 o passkeys, evitando depender únicamente de SMS.
- Revisar y limitar los permisos de las cuentas SSO, aplicando el principio de mínimo privilegio y segmentación de accesos.
- Monitorear de forma continua inicios de sesión anómalos, ubicaciones inusuales y creación de tokens o sesiones sospechosas.
- Auditar regularmente el acceso de proveedores y contratistas, deshabilitando cuentas cuando ya no sean necesarias y exigiendo MFA robusta.
- Formar al personal frente al phishing dirigido (spear phishing), incluyendo simulaciones periódicas y procedimientos claros de reporte.
Recomendaciones para usuarios de apps de citas
Los usuarios pueden reducir su exposición adoptando medidas básicas de higiene digital:
- Cambiar las contraseñas y activar la autenticación en dos factores (preferiblemente con aplicaciones autenticadoras).
- No reutilizar la misma contraseña en múltiples servicios y apoyarse en un gestor de contraseñas para generar claves robustas y únicas.
- Verificar cuidadosamente el dominio y remitente de correos y mensajes, evitando introducir credenciales o datos de pago desde enlaces sospechosos.
- Acceder a las aplicaciones de citas escribiendo la URL directamente o usando la app oficial, en lugar de seguir enlaces recibidos por correo o redes sociales.
- Prestar atención a las notificaciones de seguridad de los servicios y actuar con rapidez ante cualquier aviso de acceso inusual o restablecimiento de contraseña.
Los incidentes que afectan a Match Group y Bumble ponen de manifiesto que incluso las grandes tecnológicas siguen siendo vulnerables a la combinación de phishing, compromiso de SSO y debilidades en la cadena de suministro. Reforzar la seguridad de la identidad digital, endurecer los controles sobre proveedores y mejorar la educación en ciberseguridad de empleados y usuarios no es opcional: es una condición imprescindible para reducir el impacto de futuras brechas en un ecosistema donde la información personal es cada vez más valiosa para los atacantes.
