La semana pasada, un hacker desconocido irrumpió en los servidores del fabricante de stalkerware pcTattletale, con sede en Estados Unidos. Luego, el hacker robó y filtró datos internos de la empresa. También desfiguraron el sitio web oficial de pcTattletale con el objetivo de avergonzar a la empresa.
“Esto tomó un total de 15 minutos después de leer el artículo de TechCrunch”, escribieron los piratas informáticos en la desfiguración, refiriéndose a un artículo reciente de TechCrunch donde informamos que pcTattletale se utilizó para monitorear varias computadoras de check-in en la recepción de hoteles Wyndham en todo Estados Unidos. Estados.
Como resultado de esta operación de pirateo, filtración y vergüenza, el fundador de pcTattletale, Bryan Fleming, dijo que cerraría su empresa.
Las aplicaciones de software espía para consumidores como pcTattletale se conocen comúnmente como acosador porque los cónyuges y parejas celosos los utilizan para vigilar y vigilar subrepticiamente a sus seres queridos. Estas empresas a menudo comercializan explícitamente sus productos como soluciones para atrapar a socios infieles fomentando comportamientos ilegales y poco éticos. Y ha habido múltiples casos judiciales, investigaciones periodísticas y encuestas de refugios para víctimas de violencia doméstica que muestran que el acoso y la vigilancia en línea pueden conducir a casos de daño y violencia en el mundo real.
Y es por eso que los piratas informáticos han atacado repetidamente a algunas de estas empresas.
Según el recuento de TechCrunch, con este último hack, pcTattletale se ha convertido en la vigésima empresa de stalkerware desde 2017 que se sabe que ha sido hackeada o filtrada datos de clientes y víctimas en línea. No es un error tipográfico: veinte empresas de stalkerware han sido pirateadas o han tenido una exposición significativa de sus datos en los últimos años. Y tres empresas de stalkerware fueron pirateadas varias veces.
Eva Galerpin, directora de ciberseguridad de la Electronic Frontier Foundation y destacada investigadora y activista que ha investigado y luchado contra el stalkerware durante años, dijo que la industria del stalkerware es un “objetivo fácil”. “Las personas que dirigen estas empresas quizás no sean las más escrupulosas ni las más preocupadas por la calidad de su producto”, dijo Galperin a TechCrunch.
Dada la historia de ataques de stalkerware, esto puede ser un eufemismo. Y debido a la falta de cuidado para proteger a sus propios clientes (y, en consecuencia, a los datos personales de decenas de miles de víctimas involuntarias), utilizar estas aplicaciones es doblemente irresponsable. Los clientes de stalkerware pueden estar infringiendo la ley, abusando de sus socios espiándolos ilegalmente y, además, poniendo en peligro los datos de todos.
Una historia de hacks de stalkerware
La avalancha de infracciones de stalkerware comenzó en 2017, cuando un grupo de piratas informáticos invadió Retina-X, con sede en EE. UU., y FlexiSpy, con sede en Tailandia, consecutivamente. Esos dos hacks revelaron que las empresas tenían un total de 130.000 clientes en todo el mundo.
En ese momento, los piratas informáticos que, con orgullo, se atribuyeron la responsabilidad de los compromisos dijeron explícitamente que sus motivaciones eran exponer y, con suerte, ayudar a destruir una industria que consideran tóxica y poco ética.
“Voy a quemarlos hasta los cimientos y no dejaré ningún lugar donde puedan esconderse”, dijo uno de los piratas informáticos involucrados a Motherboard.
Refiriéndose a FlexiSpy, el hacker añadió: “Espero que se desmoronen y fracasen como empresa, y que tengan algo de tiempo para reflexionar sobre lo que hicieron. Sin embargo, temo que intenten volver a nacer en una nueva forma. Pero si lo hacen, estaré allí”.
A pesar del hackeo y de años de atención pública negativa, FlexiSpy sigue activo hoy en día. No se puede decir lo mismo de Retina-X.
El hacker que irrumpió en Retina-X borró sus servidores con el objetivo de obstaculizar sus operaciones. La empresa se recuperó y, un año después, volvió a ser pirateada. Un par de semanas después de la segunda infracción, Retina-X anunció que cerraría.
Apenas unos días después de la segunda vulneración de Retina-X, los piratas informáticos atacaron Mobistealth y Spy Master Pro, robando gigabytes de registros comerciales y de clientes, así como mensajes interceptados de las víctimas y ubicaciones GPS precisas. Otro proveedor de stalkerware, SpyHuman, con sede en India, corrió la misma suerte unos meses después, cuando los piratas informáticos robaron mensajes de texto y metadatos de llamadas, que contenían registros de quién llamó a quién y cuándo.
Semanas después, se produjo el primer caso de exposición accidental de datos, en lugar de un hackeo. SpyFone dejó un depósito de almacenamiento S3 alojado en Amazon desprotegido en línea, lo que significaba que cualquiera podía ver y descargar mensajes de texto, fotos, grabaciones de audio, contactos, ubicación, contraseñas codificadas e información de inicio de sesión, mensajes de Facebook y más. Todos esos datos fueron robados a las víctimas, la mayoría de las cuales no sabían que estaban siendo espiadas, y mucho menos sabían que sus datos personales más confidenciales también estaban en Internet a la vista de todos.
Otras empresas de stalkerware que a lo largo de los años han dejado irresponsablemente datos de clientes y víctimas en línea son FamilyOrbit, que dejó 281 gigabytes de datos personales en línea protegidos únicamente por una contraseña fácil de encontrar; mSpy, que filtró más de 2 millones de registros de clientes; Xnore, que permitía a cualquiera de sus clientes ver los datos personales de los objetivos de otros clientes, que incluían mensajes de chat, coordenadas GPS, correos electrónicos, fotos y más; Mobiispy, que dejó 25.000 grabaciones de audio y 95.000 imágenes en un servidor accesible a cualquiera; KidsGuard, que tenía un servidor mal configurado que filtraba el contenido de las víctimas; pcTattletale, que antes de su hackeo también expuso capturas de pantalla de los dispositivos de las víctimas cargadas en tiempo real en un sitio web al que cualquiera podía acceder; y Xnspy, cuyos desarrolladores dejaron credenciales y claves privadas en el código de las aplicaciones, lo que permite que cualquiera pueda acceder a los datos de las víctimas.
En cuanto a otras empresas de stalkerware que fueron pirateadas, estuvo Copy9, en la que un pirata informático robó los datos de todos sus objetivos de vigilancia, incluidos mensajes de texto y mensajes de WhatsApp, grabaciones de llamadas, fotos, contactos e historial de cejas; LetMeSpy, que cerró después de que los piratas informáticos violaran y borraran sus servidores; WebDetetive, con sede en Brasil, a quien también le borraron sus servidores y luego los volvieron a piratear; OwnSpy, que proporciona gran parte del software backend para WebDetetive, también fue pirateado; Spyhide, que tenía una vulnerabilidad en su código que permitía a un hacker acceder a las bases de datos back-end y durante años robó alrededor de 60.000 datos de víctimas; y Oospy, que era una nueva marca de Spyhide, cerró por segunda vez.
Finalmente está TheTruthSpy, una red de aplicaciones de stalkerware, que tiene el dudoso historial de haber sido pirateada o haber filtrado datos en al menos tres ocasiones distintas.
Hackeado, pero sin arrepentirse
De estas 20 empresas de stalkerware, ocho han cerrado, según el recuento de TechCrunch.
En un caso primero y hasta ahora único, la Comisión Federal de Comercio prohibió a SpyFone y a su director ejecutivo, Scott Zuckerman, operar en la industria de la vigilancia luego de una falla de seguridad anterior que expuso los datos de las víctimas. Otra operación de stalkerware vinculada a Zuckerman, llamada SpyTrac, se cerró posteriormente tras una investigación de TechCrunch.
PhoneSpector y Highster, otras dos empresas de las que no se sabe que hayan sido pirateadas, también cerraron después de que el fiscal general de Nueva York acusó a las empresas de alentar explícitamente a los clientes a utilizar su software para vigilancia ilegal.
Pero el cierre de una empresa no significa que desaparezca para siempre. Al igual que con Spyhide y SpyFone, algunos de los mismos propietarios y desarrolladores detrás de un fabricante de stalkerware cerrado simplemente cambiaron su nombre.
“Creo que estos hacks hacen cosas. Ellos logran cosas, hacen mella en ellas”, dijo Galperin. “Pero si crees que si pirateas una empresa de stalkerware, simplemente agitarán los puños, maldecirán tu nombre, desaparecerán en una nube de humo azul y nunca volverán a ser vistos, definitivamente ese no ha sido el caso”.
“Lo que sucede más a menudo, cuando realmente logras matar a una empresa de stalkerware, es que la empresa de stalkerware emerge como hongos después de la lluvia”, añadió Galperin.
Hay algunas buenas noticias. En un informe del año pasado, la empresa de seguridad Malwarebytes afirmó que el uso de stalkerware está disminuyendo, según sus propios datos sobre clientes infectados con este tipo de software. Además, Galperin informa haber visto un aumento en las críticas negativas de estas aplicaciones, y los clientes o clientes potenciales se quejan de que no funcionan como se esperaba.
Pero Galperin dijo que es posible que las empresas de seguridad no sean tan buenas para detectar stalkerware como solían ser, o que los acosadores hayan pasado de la vigilancia basada en software a la vigilancia física habilitada por AirTags y otros rastreadores habilitados para Bluetooth.
“El stalkerware no existe en el vacío. El stalkerware es parte de todo un mundo de abuso habilitado por la tecnología”, dijo Galperin.
Di no al stalkerware
Usar software espía para monitorear a sus seres queridos no sólo no es ético, sino que también es ilegal en la mayoría de las jurisdicciones, ya que se considera vigilancia ilegal.
Ésa ya es una razón importante para no utilizar stalkerware. Luego está el problema de que los fabricantes de stalkerware han demostrado una y otra vez que no pueden mantener seguros los datos, ni los de los clientes ni los de sus víctimas u objetivos.
Además de espiar a sus parejas románticas y cónyuges, algunas personas utilizan aplicaciones de stalkerware para vigilar a sus hijos. Si bien este tipo de uso, al menos en los Estados Unidos, es legal, no significa que usar stalkerware para espiar el teléfono de tus hijos no sea espeluznante y poco ético.
Aunque sea legal, Galperin cree que los padres no deberían espiar a sus hijos sin decírselo y sin su consentimiento.
Si los padres informan a sus hijos y obtienen su visto bueno, deben mantenerse alejados de aplicaciones de acoso inseguras y poco confiables, y utilizar herramientas de seguimiento parental integradas en teléfonos y tabletas Apple y dispositivos Android que sean más seguras y funcionen abiertamente.
Si usted o alguien que conoce necesita ayuda, la Línea Directa Nacional contra la Violencia Doméstica (1-800-799-7233) brinda apoyo gratuito y confidencial las 24 horas, los 7 días de la semana a las víctimas de violencia y abuso doméstico. Si se encuentra en una situación de emergencia, llame al 911. El Coalición contra el stalkerware tiene recursos si cree que su teléfono ha sido comprometido por software espía.