La aplicación de mensajería Tokee filtra 1,2 millones de perfiles de usuarios en una exposición de base de datos

Lo que realmente expuso la filtración de la base de datos de Tokee

Investigadores de seguridad descubrieron recientemente una base de datos desprotegida perteneciente a Tokee, una aplicación de mensajería de vídeo y texto, que estaba expuesta y accesible sin ningún tipo de autenticación. La base de datos contenía registros de aproximadamente 1,2 millones de usuarios, incluyendo nombres completos, números de teléfono y tokens de dispositivo. Esta última categoría merece especial atención: los tokens de dispositivo son identificadores únicos vinculados a un teléfono o tableta específicos, y pueden utilizarse para identificar un dispositivo en distintos servicios, enviar notificaciones push no autorizadas o mapear los patrones de actividad de un usuario a lo largo del tiempo.

Esto no fue un ataque sofisticado. Ningún atacante necesitó atravesar cortafuegos ni explotar vulnerabilidades complejas. La base de datos simplemente estaba abierta, lo que significa que cualquiera que supiera dónde buscar podría haber accedido a los datos y copiado. Si alguna parte no autorizada lo hizo antes de que los investigadores encontraran y reportaran la exposición no ha sido confirmado públicamente, y ese es precisamente el problema con este tipo de incidentes.

La escala de la exposición la sitúa firmemente en la categoría de incidentes graves de privacidad. Los números de teléfono son objetivos de alto valor porque se utilizan para la autenticación de dos factores, ataques de SIM-swapping y campañas de phishing dirigido por SMS.

Por qué el cifrado por sí solo no protege a los usuarios de aplicaciones de mensajería

Una suposición común entre los usuarios preocupados por la privacidad es que elegir una aplicación de mensajería con cifrado de extremo a extremo resuelve la mayoría de sus problemas de exposición de datos. El incidente de Tokee ilustra exactamente por qué esa suposición es incompleta.

El cifrado de extremo a extremo protege el contenido de los mensajes mientras viajan entre el remitente y el destinatario. No protege los metadatos que las plataformas de mensajería recopilan y almacenan en sus propios servidores: quién eres, qué dispositivo usas, con qué número de teléfono te registraste y con qué frecuencia usas la aplicación. Toda esa información reside en bases de datos controladas por el proveedor de la aplicación, y si esas bases de datos están mal configuradas o no están adecuadamente protegidas, ningún nivel de cifrado de mensajes evita que se filtre.

Esta es la misma vulnerabilidad estructural que hace que incluso las plataformas centradas en la privacidad sean difíciles de confiar por completo. El contenido del mensaje puede ser ilegible, pero los datos que lo rodean cuentan su propia historia. A medida que la UE debate la legislación obligatoria de monitoreo de chats, el argumento de que la recopilación de metadatos es inherentemente menos sensible que el contenido de los mensajes es cada vez más difícil de defender.

La filtración de Tokee es un ejemplo concreto de lo que ocurre cuando esos metadatos no se gestionan con el mismo rigor que el contenido de los mensajes.

Cómo las VPN reducen tu huella de metadatos en los servidores de aplicaciones

Cuando te conectas a una aplicación de mensajería sin una VPN, los servidores de la aplicación registran tu dirección IP real junto con la actividad de tu cuenta. Esa dirección IP puede utilizarse para inferir tu ubicación aproximada, tu proveedor de servicios de internet y, en algunos casos, tu identidad. Si esos datos del lado del servidor se exponen alguna vez en una filtración como la de Tokee, son objeto de una citación judicial o son accedidos por un actor de amenazas vinculado a un estado, tu dirección IP se convierte en otra pieza de información identificativa vinculada a tu cuenta.

Una VPN reemplaza tu dirección IP real por una perteneciente al servidor VPN, de modo que lo que queda registrado en los registros del servidor de la aplicación es una dirección compartida en lugar de una que apunte directamente a ti. Esto no impide que se produzca una filtración, y no protege el número de teléfono ni el token de dispositivo con el que te registraste. Pero reduce de forma significativa hasta qué punto los datos expuestos pueden utilizarse para localizarte o identificarte.

La importancia de limitar tu huella de metadatos se hace más evidente en contextos de alto riesgo. Los sofisticados ataques patrocinados por estados se dirigen cada vez más a la infraestructura de comunicaciones personales, y añadir una VPN encima de tus aplicaciones de mensajería supone una barrera real, aunque parcial. Del mismo modo, vale la pena recordar que las aplicaciones maliciosas en tu dispositivo también pueden recopilar datos a nivel del sistema, como se vio en casos como el malware NoVoice que infectó más de 2,3 millones de dispositivos Android a través de Google Play, lo que refuerza el valor de reducir los datos identificables que cualquier aplicación puede recopilar y almacenar.

Qué deben hacer ahora los usuarios de Tokee

Si tienes una cuenta en Tokee, trata tu número de teléfono registrado como potencialmente comprometido. Esto significa estar alerta ante mensajes SMS inusuales, especialmente aquellos que te pidan hacer clic en enlaces o confirmar datos de cuenta. Ten especial cuidado con cualquier mensaje que afirme ser de un banco, un servicio de entrega o una empresa tecnológica, ya que tu número de teléfono puede estar circulando ahora entre personas que recopilan datos filtrados.

Si usaste el mismo número de teléfono para habilitar la autenticación de dos factores en otras cuentas, considera cambiar esas cuentas a una aplicación de autenticación en lugar de la verificación por SMS, ya que los números de teléfono expuestos en filtraciones se utilizan con frecuencia en esquemas de SIM-swapping diseñados para secuestrar cuentas.

De forma más general, esta filtración es un recordatorio útil para auditar qué aplicaciones tienen acceso a tu número de teléfono y revisar los permisos concedidos a las aplicaciones de mensajería en tu dispositivo. Limitar los datos que las aplicaciones pueden recopilar desde el principio es una forma de protección más duradera que esperar que cada plataforma proteja correctamente sus bases de datos.

Por último, usar una VPN de forma constante mientras te conectas a aplicaciones de mensajería añade una capa de protección que funciona de forma independiente a las prácticas de seguridad que siga la propia aplicación. No puedes controlar cómo Tokee o cualquier otra plataforma gestiona su infraestructura de backend, pero sí puedes controlar cuánta información identificativa llega a esos servidores en primer lugar.

La exposición de Tokee es un recordatorio de que la privacidad en las plataformas de mensajería no es solo una función del cifrado integrado en la propia aplicación. También depende de cómo la plataforma gestiona los datos que rodean tus comunicaciones, y esa parte de la ecuación está completamente fuera de tu control una vez que la entregas. Desarrollar hábitos que minimicen esa entrega es la defensa más práctica disponible para los usuarios cotidianos.