Existe toda una industria turbia para quienes desean vigilar y espiar a sus familias. Numerosos desarrolladores de aplicaciones comercializan su software (a veces denominado stalkerware) a parejas celosas que pueden usar estas aplicaciones para acceder a los teléfonos de sus víctimas de forma remota.
Sin embargo, a pesar de lo sensibles que son estos datos, un número cada vez mayor de estas empresas están perdiendo enormes cantidades de ellos.
Según el recuento de TechCrunch, contando el último ataque a mSpy, desde 2017 se sabe que al menos 20 empresas de stalkerware han sido atacadas o han filtrado datos de clientes y víctimas en línea. No es un error tipográfico: veinte empresas de stalkerware han sido atacadas o han tenido una exposición significativa de datos en los últimos años. Y cuatro empresas de stalkerware fueron atacadas varias veces.
Solo en 2024, se produjeron al menos dos ataques masivos de stalkerware. La vulneración más reciente afectó a mSpy, una de las aplicaciones de stalkerware más antiguas, y expuso millones de tickets de soporte al cliente, que incluían los datos personales de millones de sus clientes.
Anteriormente, un hacker desconocido irrumpió en los servidores de pcTattletale, un fabricante de stalkerware con sede en Estados Unidos. Luego, el hacker robó y filtró los datos internos de la empresa. También desfiguró el sitio web oficial de pcTattletale con el objetivo de avergonzar a la empresa. El hacker hizo referencia a un artículo reciente de TechCrunch en el que informamos que pcTattletale se utilizó para monitorear varias computadoras de recepción en una cadena hotelera estadounidense.
Como resultado de esta operación de hackeo, filtración y vergüenza, el fundador de pcTattletale, Bryan Fleming, dijo que cerraría su empresa.
Las aplicaciones de software espía para consumidores, como mSpy y pcTattletale, se conocen comúnmente como “stalkerware” (o software para cónyuges) porque los cónyuges y parejas celosas las utilizan para vigilar y monitorear subrepticiamente a sus seres queridos. Estas empresas a menudo comercializan explícitamente sus productos como soluciones para atrapar a parejas infieles al fomentar un comportamiento ilegal y poco ético. Ha habido múltiples casos judicialesinvestigaciones periodísticas y Encuestas sobre refugios para víctimas de violencia doméstica que muestran que el acoso y el monitoreo en línea pueden conducir a casos de daño y violencia en el mundo real.
Y es por eso que los piratas informáticos han atacado repetidamente a algunas de estas empresas.
Eva Galerpin, directora de ciberseguridad de la Electronic Frontier Foundation y destacada investigadora y activista que ha investigado y combatido el stalkerware durante años, dijo que la industria del stalkerware es un “objetivo fácil”.
“Las personas que dirigen estas empresas quizás no sean las más escrupulosas ni las que realmente se preocupan por la calidad de sus productos”, dijo Galperin a TechCrunch.
Teniendo en cuenta el historial de ataques de stalkerware, puede que esto sea un eufemismo. Y debido a la falta de cuidado por proteger a sus propios clientes (y, en consecuencia, los datos personales de decenas de miles de víctimas involuntarias), el uso de estas aplicaciones es doblemente irresponsable. Los clientes de stalkerware pueden estar infringiendo la ley, abusando de sus socios al espiarlos ilegalmente y, además, poniendo en peligro los datos de todos.
Una historia de ataques con stalkerware
La oleada de infracciones de stalkerware comenzó en 2017 cuando un grupo de piratas informáticos Violó la Retina-X con sede en EE. UU. y el FlexiSpy con sede en Tailandia Los dos ataques revelaron que las empresas tenían un total de 130.000 clientes en todo el mundo.
En ese momento, los piratas informáticos que —orgullosamente— se atribuyeron la responsabilidad de las violaciones dijeron explícitamente que sus motivaciones eran exponer y, con suerte, ayudar a destruir una industria que consideraban tóxica y poco ética.
“Voy a quemarlos hasta los cimientos y no dejaré absolutamente ningún lugar donde puedan esconderse”, dijo a Motherboard uno de los piratas informáticos involucrados.
En referencia a FlexiSpy, el hacker añadió: “Espero que se desmoronen y fracasen como empresa, y que tengan tiempo para reflexionar sobre lo que han hecho. Sin embargo, temo que intenten renacer de nuevo bajo una nueva forma. Pero si lo hacen, allí estaré”.
A pesar del ataque y de los años de atención pública negativa, FlexiSpy sigue activo hoy en día. No se puede decir lo mismo de Retina-X.
El hacker que irrumpió en Retina-X borró sus servidores con el objetivo de obstaculizar sus operaciones. La empresa se recuperó. Y luego fue hackeado nuevamente un año después.Un par de semanas después de la segunda infracción, Retina-X anunció que cerrará.
Apenas unos días después de la segunda violación de Retina-X, Los piratas informáticos atacan Mobistealth y Spy Master Prorobando gigabytes de registros de clientes y empresas, así como mensajes interceptados de las víctimas y ubicaciones precisas de GPS. Otro vendedor de stalkerware, SpyHuman, con sede en Indiacorrió la misma suerte unos meses después, cuando los piratas informáticos robaron mensajes de texto y metadatos de llamadas, que contenían registros de quién llamó a quién y cuándo.
Semanas después, se produjo el primer caso de exposición accidental de datos, en lugar de un hackeo. SpyFone dejó desprotegido en línea un depósito de almacenamiento S3 alojado en Amazonlo que significaba que cualquiera podía ver y descargar mensajes de texto, fotos, grabaciones de audio, contactos, ubicación, contraseñas codificadas e información de inicio de sesión, mensajes de Facebook y más. Todos esos datos fueron robados a las víctimas, la mayoría de las cuales no sabían que estaban siendo espiadas, y mucho menos sabían que sus datos personales más sensibles también estaban en Internet a la vista de todos.
Otras empresas de stalkerware que a lo largo de los años han dejado de manera irresponsable datos de clientes y víctimas en línea son FamilyOrbit, que dejó 281 gigabytes de datos personales en línea. Protegido únicamente por una contraseña fácil de encontrar; mSpy, que filtró más de 2 millones de registros de clientes en 2018; Xnore, que permitir que cualquiera de sus clientes vea los datos personales de los objetivos de otros clientesque incluía mensajes de chat, coordenadas GPS, correos electrónicos, fotos y más; Mobiispy, que dejó 25.000 grabaciones de audio y 95.000 imágenes En un servidor accesible a cualquier persona; KidsGuard, que tenía un servidor mal configurado que filtraba el contenido de las víctimas; pcTattletale, que antes de su ataque también Capturas de pantalla expuestas de los dispositivos de las víctimas cargadas en tiempo real a un sitio web al que cualquiera podía acceder; y Xnspy, cuyos desarrolladores dejaron credenciales y claves privadas en el código de las aplicaciones, permitiendo que cualquiera accediera a los datos de las víctimas.
En cuanto a otras empresas de stalkerware que realmente fueron atacadas, estuvo Copy9, que vio Un hacker roba los datos de todos sus objetivos de vigilancia.incluidos mensajes de texto y mensajes de WhatsApp, grabaciones de llamadas, fotos, contactos e historial de navegación; LetMeSpy, que cerró después de que piratas informáticos violaran y borraran sus servidores; WebDetetive, con sede en Brasil, cuyos servidores también fueron borrados, y Luego lo hackearon de nuevo; OwnSpy, que proporciona gran parte del software back-end para WebDetetive, también fue hackeado; Spyhide, que tenía una vulnerabilidad en su código que permitió a un hacker acceder a las bases de datos back-end y a los datos robados durante años de alrededor de 60.000 víctimas; Oospy, que era una nueva marca de Spyhide, cerró por segunda vez; y el último hackeo de mSpy, que no está relacionado con la filtración mencionada anteriormente.
Por último, está TheTruthSpy, una red de aplicaciones de stalkerware que tiene el dudoso historial de haber sido hackeada o de haber filtrado datos en al menos tres ocasiones distintas.
Hackeado, pero sin arrepentimiento
De estas 20 empresas de stalkerware, ocho han cerrado, según el recuento de TechCrunch.
En un caso único hasta ahora, la Comisión Federal de Comercio prohibió a SpyFone y a su director ejecutivo, Scott Zuckerman, operar en la industria de la vigilancia tras un fallo de seguridad anterior que expuso los datos de las víctimas. Otra operación de stalkerware vinculada a Zuckerman, llamada SpyTrac, fue clausurada posteriormente tras una investigación de TechCrunch.
PhoneSpector y Highster, otras dos empresas que no se sabe que hayan sido hackeadas, también cerraron después de que el fiscal general de Nueva York acusara a las empresas de alentar explícitamente a los clientes a utilizar su software para vigilancia ilegal.
Pero el cierre de una empresa no significa que desaparezca para siempre. Al igual que con Spyhide y SpyFone, algunos de los mismos propietarios y desarrolladores detrás de un fabricante de stalkerware que cerró sus puertas simplemente cambiaron su marca.
“Creo que estos piratas informáticos hacen cosas. Logran cosas, hacen mella en el sistema”, dijo Galperin. “Pero si crees que si pirateas una empresa de software de acoso, simplemente te amenazarán con el puño, maldecirán tu nombre, desaparecerán en una nube de humo azul y nunca más volverán a aparecer, definitivamente ese no ha sido el caso”.
“Lo que ocurre con mayor frecuencia, cuando se logra acabar con una empresa de stalkerware, es que esta reaparece como hongos después de la lluvia”, añadió Galperin.
Hay buenas noticias. En un informe del año pasado, la empresa de seguridad Malwarebytes afirmó que El uso de stalkerware está disminuyendosegún sus propios datos de clientes infectados con este tipo de software. Además, Galperin informa de un aumento de las críticas negativas de estas aplicaciones, con clientes o posibles clientes quejándose de que no funcionan como deberían.
Pero Galperin dijo que es posible que las empresas de seguridad no sean tan buenas como antes para detectar stalkerware, o que los acosadores hayan pasado de la vigilancia basada en software a la vigilancia física habilitada por AirTags y otros rastreadores habilitados con Bluetooth.
“El stalkerware no existe en el vacío. El stalkerware es parte de todo un mundo de abusos facilitados por la tecnología”, dijo Galperin.
Diga no al stalkerware
Usar software espía para vigilar a sus seres queridos no sólo es poco ético, sino que también es ilegal en la mayoría de las jurisdicciones, ya que se considera vigilancia ilegal.
Esa es ya una razón importante para no utilizar stalkerware. Además, los creadores de stalkerware han demostrado una y otra vez que no pueden mantener seguros los datos, ni los de los clientes ni los de sus víctimas u objetivos.
Además de espiar a parejas y cónyuges, algunas personas utilizan aplicaciones de stalkerware para vigilar a sus hijos. Si bien este tipo de uso, al menos en los Estados Unidos, es legal, no significa que usar stalkerware para espiar el teléfono de sus hijos no sea espeluznante y poco ético.
Incluso si es legal, Galperin cree que los padres no deberían espiar a sus hijos sin decírselo y sin su consentimiento.
Si los padres informan a sus hijos y obtienen su visto bueno, deben mantenerse alejados de aplicaciones de software de acoso inseguras y poco confiables, y utilizar herramientas de seguimiento parental integradas. Teléfonos y tabletas de Apple y Dispositivos Android que sean más seguros y operen abiertamente.
Actualizado el 16 de julio para incluir mSpy como el último software espía detectado.
Si usted o alguien que conoce necesita ayuda, la Línea Nacional de Atención sobre Violencia Doméstica (1-800-799-7233) brinda apoyo confidencial y gratuito las 24 horas, los 7 días de la semana, a las víctimas de abuso y violencia doméstica. Si se encuentra en una situación de emergencia, llame al 911. Coalición contra el stalkerware Tiene recursos si cree que su teléfono ha sido comprometido por software espía.