Una falla de seguridad en la aplicación de citas Headero expuso datos sensibles de millones de usuarios

Una grave brecha de seguridad ha dejado expuestos más de cuatro millones de registros privados de usuarios de Headero, una aplicación de citas íntimas orientada a personas queer y comunidades sexuales alternativas. La filtración incluye información extremadamente sensible como conversaciones explícitas, ubicaciones GPS exactas, preferencias sexuales y estado de salud respecto a enfermedades de transmisión sexual (ETS).

Según publicó el portal Cybernews, el acceso público a estos datos fue posible debido a una mala configuración de una base de datos MongoDB, sin las medidas básicas de autenticación. Si bien la plataforma busca facilitar experiencias consensuadas entre adultos, esta filtración expone a los usuarios a numerosos riesgos, desde acoso en línea hasta amenazas físicas.

Un aspecto particularmente preocupante es la exposición de coordenadas GPS exactas. En contextos represivos, tal información podría utilizarse para localizar físicamente a los usuarios.

Headero es una aplicación publicada por la empresa estadounidense ThotExperiment, disponible en Google Play Store. La app, que permite utilizar filtros de proximidad y personalizar perfiles, atrae a usuarios que desean explorar el deseo sin inhibiciones, sin revelar necesariamente su identidad real. Sin embargo, la opción de subir fotos personales o conectar redes sociales queda a discreción de los individuos.

Al detectarse la brecha, los investigadores notificaron a los desarrolladores de la aplicación. Su respuesta fue rápida: la base de datos fue asegurada y retirada del acceso público. No obstante, la empresa no ha emitido un comunicado oficial ni ha confirmado si terceros accedieron a los datos durante el periodo en que estuvieron accesibles.

En sus esfuerzos por minimizar el impacto, los desarrolladores afirmaron que se trataba de una “base de pruebas” usada para simular datos antes de lanzamientos o cambios en el sistema.

Este incidente no es aislado; anteriores investigaciones de Cybernews han expuesto que plataformas BDSM, LGBTQ+ y de citas “sugar” también han filtrado información privada. Una investigación pasada reveló que casi 1,5 millones de imágenes estaban disponibles en línea sin restricciones.

Los expertos destacan que estas fallas reflejan una negligencia persistente en la “higiene digital”, especialmente al manejar datos de poblaciones vulnerables. Aunque MongoDB es común en aplicaciones modernas, su configuración predeterminada puede dejar datos expuestos sin medidas de seguridad específicas. Generalmente, las filtraciones resultan de errores humanos en pruebas o migraciones de servidores.

Ante la incertidumbre sobre el real alcance del daño, se aconseja a los usuarios de Headero que tomen medidas inmediatas de protección. Esto incluye modificar contraseñas, evitar su reutilización en otras plataformas, revisar los permisos de la aplicación en dispositivos, y estar alertas ante posibles intentos de phishing mediante correos electrónicos o mensajes de texto. Se recomienda también observar actividades inusuales en otras cuentas asociadas, particularmente si se usó el mismo correo para el registro.