Filtración de datos personales en Bumble: Todo lo que sabemos
La seguridad de los datos vuelve a situarse en el centro del debate, esta vez con Bumble como protagonista. Una mujer de Texas ha presentado una demanda contra la app de citas, acusándola de no haber protegido adecuadamente su información personal y la de otros usuarios, después de que el grupo de hackers ShinyHunters asegurara haber accedido a datos de la compañía.
El caso llega semanas después de que ShinyHunters afirmara haber vulnerado a otras empresas conocidas, como Panera Bread, Match Group y la propia Bumble, elevando la preocupación sobre posibles filtraciones masivas de información personal en servicios de consumo.
Qué ocurrió según la denuncia: acceso a servidores “insuficientemente protegidos”
La demanda sostiene que en enero ShinyHunters logró infiltrarse en la red de servidores de Bumble, calificada en el escrito como “inadecuadamente protegida”, y que desde ahí accedió a información personal identificable (PII) que supuestamente se encontraba “sin protección”.
En este contexto, el término PII abarca datos muy sensibles, que podrían incluir:
- Nombre y apellidos
- Fecha de nacimiento
- Dirección postal
- Números de teléfono (fijo y móvil)
- Número de la Seguridad Social (SSN)
- Números de cuenta
El núcleo de la acusación es que Bumble no habría aplicado medidas “razonables” para salvaguardar esta información y evitar una divulgación no autorizada.
La cifra que se puso sobre la mesa: 30 GB de datos
Según la información citada en el texto de referencia, ShinyHunters llegó a afirmar que habría robado 30 GB de datos relacionados con Bumble. Ese volumen, de ser real, alimenta el temor a que la filtración no se limite a unos pocos registros.
Ahora bien, en paralelo a esas afirmaciones, Bumble ofreció una versión que matiza el alcance del incidente.
La respuesta de Bumble: incidente “contenido” y sin acceso a la base de miembros
En declaraciones recogidas en el texto, un portavoz de Bumble señaló que el equipo de seguridad detectó y eliminó rápidamente el acceso, y que el incidente estaría contenido. Además, la empresa indicó haber recurrido a expertos externos en ciberseguridad para investigar y que se notificó a las fuerzas de seguridad.
Lo más relevante de esa respuesta es la parte en la que Bumble asegura que no hubo acceso a elementos clave del servicio: la base de datos de miembros, las cuentas, la aplicación de Bumble, ni tampoco a los mensajes directos o perfiles de usuarios.
Aun así, la demanda plantea que la exposición de información personal se produjo y que los controles internos no fueron suficientes.
Cuándo y dónde se presentó la demanda
La acción legal se presentó el 19 de febrero ante el Tribunal de Distrito del Oeste de Texas. Bumble tiene su sede en Austin, por lo que el foro judicial elegido encaja con la ubicación de la compañía.
La demandante, Tyra Omirin, plantea el caso como una acción con vocación colectiva (class action), buscando representar a otras personas afectadas en una situación similar.
Las acusaciones: negligencia, falta de protocolos y cifrado insuficiente
El escrito acusa a Bumble de haber “ignorado los derechos” de la demandante y de los posibles miembros de la demanda colectiva por fallar “intencional, voluntaria, temeraria y/o negligentemente” en implantar medidas adecuadas de protección.
Entre los reproches concretos, destaca la supuesta falta de aplicación de protocolos y procedimientos apropiados relacionados con el cifrado, incluso para usos internos. En otras palabras: la demanda sugiere que Bumble no habría tratado la información con el nivel de seguridad esperado, y que eso habría facilitado la exposición.
Impacto para la demandante: tiempo, ansiedad y vigilancia financiera
Más allá del plano técnico, la demanda describe consecuencias prácticas para la demandante. Omirin afirma haber tenido que invertir tiempo en verificar el incidente, monitorizar su crédito y cuentas personales, explorar opciones de seguro contra robo de identidad y buscar asesoramiento legal.
También argumenta que pagó por el servicio bajo la premisa de que Bumble protegería su información. Según el escrito, de haber sabido que la empresa no la protegería de forma “razonable y adecuada”, no habría pagado.
El documento añade que la situación le ha provocado pérdida de tiempo, molestias e inconvenientes, además de ansiedad por la pérdida de privacidad y por la posibilidad de que ciberdelincuentes accedan, utilicen o vendan su información.
Qué solicita la demanda: medidas técnicas y obligaciones para Bumble
Además de daños y perjuicios, la demandante solicita al tribunal que imponga medidas correctivas. Entre ellas, se incluyen:
- Protección reforzada de todos los datos, incluyendo el cifrado
- Eliminación de los datos de la demandante y del grupo, salvo que Bumble justifique razonablemente su conservación
- Auditorías de seguridad por terceros
- Implantación de un programa formal de seguridad de la información
Estas peticiones buscan que el caso no se limite a una compensación económica, sino que fuerce cambios estructurales en cómo se gestiona y protege la información.
Qué significa este caso para las apps de citas
Aunque el proceso está en fase inicial y todavía habrá que ver cómo evolucionan las pruebas y la respuesta legal de Bumble, el caso ilustra un riesgo recurrente: las apps de citas manejan una mezcla especialmente delicada de datos personales y hábitos de uso, lo que las convierte en objetivos atractivos.
Con la presión regulatoria y la sensibilidad pública en máximos, incidentes y litigios como este pueden convertirse en un punto de inflexión para exigir más transparencia, mejores prácticas de cifrado y auditorías independientes
