Por Mid 
Brecha Match Group: el grupo de amenazas ShinyHunters filtró en enero de 2026 unos 10 millones de registros de usuarios de Hinge, Tinder, OkCupid y Match.com, junto con documentos internos. La compañía confirmó el incidente y atribuyó el acceso no autorizado a una campaña de vishing (phishing por voz) que comprometió una cuenta Okta SSO, con acceso a AppsFlyer y almacenamiento en la nube. Match Group asegura que no hay indicios de robo de credenciales, datos financieros ni comunicaciones privadas, y que está notificando a los afectados.
¿Qué es la Brecha Match Group?
Match Group es el conglomerado detrás de las apps de citas Tinder, Match.com, Hinge, OkCupid y Meetic, con más de 80 millones de usuarios activos y unos 3.500 millones de dólares de ingresos anuales. La brecha Match Group salió a la luz cuando ShinyHunters publicó en foros de la dark web 1,7 GB de archivos comprimidos que, según el grupo, contenían unos 10 millones de registros de Hinge, Match y OkCupid, además de facturas, informes internos, datos de empleados, información de suscripciones, IDs de usuario, direcciones IP y datos de ubicación.
La empresa confirmó a Bleeping Computer que había detectado un incidente de seguridad y que actuó con rapidez para cortar el acceso no autorizado. La investigación se lleva a cabo con expertos externos. Match Group matizó que el impacto afecta a «una cantidad limitada de datos de usuarios» y que no tienen constancia de que los atacantes accedieran a Google Drive ni a Dropbox, pese a las afirmaciones iniciales de ShinyHunters.
Cómo ocurrió la Brecha Match Group: vishing y Okta SSO
El ataque forma parte de una campaña de ShinyHunters centrada en cuentas SSO (Okta, Microsoft, Google) contra más de un centenar de organizaciones de alto valor. En el caso de la brecha Match Group, los atacantes utilizaron un dominio de phishing matchinternal.com para simular un portal interno y engañar a empleados mediante vishing (llamadas o mensajes de voz que llevan a introducir credenciales en páginas falsas). Tras comprometer una cuenta Okta SSO, obtuvieron acceso a la instancia de AppsFlyer (analíticas de marketing) y, según las primeras versiones, a cuentas en la nube; la empresa niega el acceso a Drive y Dropbox.
Okta y expertos como Mandiant recomiendan MFA resistente al phishing (FIDO2, passkeys o Okta FastPass) y políticas estrictas de autorización de aplicaciones, además de monitorizar logs por actividad API anómala. Puedes consultar más recomendaciones de Okta Threat Intelligence sobre kits de phishing y vishing. Otras vulnerabilidades y incidentes recientes en nuestro blog incluyen zero-days y brechas de datos que también explotan ingeniería social.
Datos expuestos y respuesta ante la Brecha Match Group
Según ShinyHunters, los datos filtrados incluyen PII (información personal identificable) en menor medida y, sobre todo, información de seguimiento y analíticas. Match Group mantiene que no se accedió a contraseñas, datos de pago ni mensajes privados. La compañía está notificando a las personas afectadas según la normativa aplicable. Si usas Tinder, Hinge, OkCupid o Match.com, conviene estar atento a comunicaciones oficiales, activar 2FA si está disponible y revisar actividad de la cuenta.
Incidentes de este tipo recuerdan la importancia de proteger el acceso a sistemas corporativos y SSO. En nuestra sección de brechas de datos cubrimos otros casos recientes. Los ataques de ransomware y las brechas por credenciales robadas siguen siendo una de las principales amenazas para empresas y usuarios; la brecha Match Group encaja en un patrón de campañas de vishing a gran escala contra cuentas de identidad.
Recomendaciones de seguridad tras la Brecha Match Group
Para organizaciones: implantar MFA resistente al phishing (passkeys, FIDO2), restringir autorizaciones de aplicaciones en SSO, monitorizar accesos anómalos y formar a empleados frente a vishing y dominios que imitan portales internos. Para usuarios de las apps de Match Group: revisar notificaciones de la empresa, cambiar contraseñas si se recomienda, activar 2FA y desconfiar de correos o llamadas que pidan credenciales. Más contexto sobre incidentes de infraestructura y seguridad en nuestro blog.
Conclusión
La brecha Match Group de enero de 2026 evidencia el riesgo de las campañas de vishing contra cuentas SSO y el valor de los datos de aplicaciones de citas para los atacantes. Con unos 10 millones de registros y documentos internos filtrados, el incidente refuerza la necesidad de MFA resistente al phishing y controles estrictos en identidad y acceso. Match Group sigue investigando y notificando a los afectados; la supervisión de comunicaciones oficiales y el refuerzo de la seguridad de la cuenta siguen siendo las medidas más útiles para los usuarios.
FAQ sobre la Brecha Match Group
¿Qué aplicaciones están afectadas por la brecha Match Group? Match Group confirmó un incidente que afecta a sus servicios; ShinyHunters mencionó datos de Hinge, Match.com y OkCupid. La brecha Match Group podría afectar a cualquiera de las marcas del conglomerado; Tinder y el resto comparten infraestructura y políticas de seguridad.
¿Robaron mis contraseñas o datos de pago? Match Group indicó que no hay indicios de que los atacantes accedieran a credenciales de inicio de sesión, información financiera ni comunicaciones privadas. Aun así, es recomendable estar atento a notificaciones y reforzar la seguridad de la cuenta.
¿Cómo entraron los atacantes? Mediante una campaña de vishing (phishing por voz) que comprometió una cuenta Okta SSO de la empresa, dando acceso a sistemas como AppsFlyer y, según versiones iniciales, a almacenamiento en la nube; la empresa niega el acceso a Google Drive y Dropbox.
¿Quién es ShinyHunters? Es un grupo de amenazas conocido por filtrar y vender datos robados. En 2026 ha llevado a cabo una campaña amplia contra cuentas SSO (Okta, Microsoft, Google) en más de un centenar de organizaciones.
¿Qué debo hacer si uso Hinge, Tinder o OkCupid? Revisar correo y notificaciones de Match Group, activar 2FA si está disponible, cambiar la contraseña si lo recomiendan y desconfiar de correos o llamadas que pidan credenciales o datos sensibles.