A finales de enero de 2026, el grupo de extorsión ShinyHunters publicó un archivo comprimido de 1,7 GB en su sitio de filtraciones reclamando el robo de alrededor de 10 millones de registros de usuarios de las aplicaciones de citas de Match Group: Hinge, Tinder, OkCupid y Match. La publicación, fechada entre el 27 y el 28 de enero de 2026, incluía además documentación interna de la compañía.
Qué ocurrió y a quién afecta
No se trata de una vulnerabilidad de software (no hay CVE asignado), sino de un incidente de acceso no autorizado mediante ingeniería social. Según la información disponible, los atacantes ejecutaron una campaña de vishing (phishing telefónico) que comprometió las credenciales de inicio de sesión único (SSO) de Okta de un empleado. Para ello emplearon un dominio fraudulento, matchinternal.com, que imitaba la infraestructura interna corporativa.
Con esas credenciales, los atacantes accedieron a paneles internos y a la plataforma de analítica de marketing AppsFlyer, así como a almacenamiento en la nube. Este incidente se enmarca en una campaña más amplia de ShinyHunters dirigida a entornos SSO que, según el grupo, afectó a más de un centenar de organizaciones, incluyendo cuentas de Okta, Microsoft y Google.
Los afectados son los usuarios de las apps de Match Group cuyos datos quedaron en los sistemas accesibles. Match Group afirmó que la brecha implicó “una cantidad limitada de datos de usuario”, consistentes principalmente en información de seguimiento (tracking): teléfonos, correos electrónicos, identificadores de usuario y direcciones IP. La empresa subrayó que no se accedió a credenciales de inicio de sesión, información financiera ni comunicaciones privadas, y disputó las afirmaciones de los atacantes de que se hubieran comprometido archivos de Google Drive y Dropbox.
Gravedad
La gravedad es alta. Aunque no se filtraron contraseñas ni datos bancarios, la combinación de teléfono, correo, ID de usuario e IP, ligada a aplicaciones de citas, es material muy sensible: facilita campañas de phishing dirigido, extorsión y doxing contra personas concretas. El uso de vishing contra el SSO demuestra que el eslabón débil no fue la tecnología, sino el factor humano combinado con una autenticación que no resistía la suplantación.
Mitigación y respuesta
Match Group declaró que actuó “con rapidez para terminar el acceso no autorizado” y que ya estaba notificando a las personas afectadas “según corresponda”, con el apoyo de expertos de seguridad externos.
Para organizaciones que quieran prevenir incidentes similares, las recomendaciones de los expertos son claras:
- Adoptar autenticación resistente al phishing como llaves de seguridad FIDO2 o passkeys, en lugar de OTP por SMS o apps, vulnerables al vishing.
- Aplicar políticas estrictas de autorización de aplicaciones y controles de acceso a la red para limitar el alcance de una cuenta comprometida.
- Formar al personal frente a campañas de vishing y verificar siempre por canales independientes cualquier solicitud de credenciales.
Para los usuarios de estas apps, conviene desconfiar de correos o llamadas que mencionen el incidente, no reutilizar contraseñas y activar la autenticación de doble factor más robusta disponible.