TheTruthSpy, una empresa que comercializa a nivel mundial una aplicación para dispositivos Android e iOS dirigida a usuarios hogareños y que promueve sus productos destacando la posibilidad de espiar el dispositivo de un tercero, fue víctima de un ataque informático en el que robaron accesos de los usuarios, grabaciones de audio de las víctimas, fotos y chats, entre otros datos más.

La noticia fue revelada por el sitio Motherboard de Vice como parte de una serie de artículos de investigación periodística denominada “Cuando los espías vienen a casa”, en la que revelan casos reales en los que individuos utilizan herramientas para espiar en los dispositivos de sus seres queridos.

Esta compañía es una de las más conocidas en la comercialización de spyware a usuarios hogareños a nivel mundial. En su sitio web la empresa promociona el producto dirigiéndolo a padres como herramienta de control parental, y también para personas que quieren seguir los pasos de su pareja o empleadores que desean monitorear lo que hacen los trabajadores.

¿Qué permite hacer la aplicación? La polémica app ofrece la posibilidad de monitorear en tiempo real la ubicación de la persona espiada a través del GPS, controlar su dispositivo de manera remota, tener un registro de las llamadas y los mensajes de texto, y ver los archivos multimedia en el dispositivo afectado, sino que también brinda acceso a las contraseñas de las cuentas que utiliza la persona acosada, permitiendo al espía ingresar a sus redes sociales y correo electrónico.

Sin embargo, la aplicación fue vulnerada y el atacante, que dialogó con Motherboard y cuyas siglas son L.M., comentó que en febrero de este año logró ingresar al servidor de la empresa y accedió a más de 10.000 nombres de usuarios de usuarios de clientes de distintas partes del mundo, así como a sus contraseñas, las fotografías y grabaciones de audio provenientes del dispositivo de las personas que estaban siendo espiadas, información sobre la localización, mensajes de texto, entre otra información. Sin embargo, L.M. aseguró que hace poco dejó de tener acceso al luego de que TheTruthSpy realizara una actualización en sus servidores.

El atacante, quien dijo que logró acceder al servidor luego de realizar ingeniería inversa sobre la aplicación de Android y descubrir una vulnerabilidad, fue crítico con la compañía desarrolladora de esta aplicación al decir que “se preocupan de cómo promocionar un producto para espiar, pero no se preocupan de cómo hacer para proteger la privacidad de los atacantes y de las víctimas”.

Luego de que el atacante compartiera una muestra de los nombres de usuarios y sus contraseñas, Motherboard pudo confirmar que la fuga de información fue cierta al intentar acceder con las direcciones y corroborar que eran de usuarios existentes.

El caso de esta empresa que comercializa soluciones para espiar se suma a una larga lista de compañías que ofrecen servicios del tipo spyware y que fueron víctimas de una ataque informático que, en la mayoría de los casos, dejó expuesta una gran cantidad de información personal de las víctimas, publicó el periodista de Motherboard Lorenzo Franceschi-Bicchierai.

Por otra parte, el atacante comentó al periodista que una gran cantidad de los consumidores del servicio reutilizaban la misma contraseña en servicios como el correo, PayPal o Amazon. Y aseguró que, si bien accedió a estas cuentas, no robó nada de dinero.

Asimismo, L.M. comentó a Motherboard que cualquier black hat hacker puede vulnerar este tipo de herramientas, acceder a este tipo de información y convertir la vida de las víctimas y los usuarios en un infierno. 

Industria que comercializa aplicaciones para espiar

A pesar de que interceptar las comunicaciones de un tercero es ilegal en la gran mayoría de los países del mundo, estas aplicaciones son de fácil acceso para los usuarios. Basta con poner en el buscador “aplicaciones para espiar otro celular” para encontrar una gran variedad de soluciones de esta naturaleza, como FlexiSPY, Spyzie, mSpy, entre muchas otras más.

En países como Estados Unidos, por ejemplo, no es ilegal el uso de estas aplicaciones como herramienta de control parental o por los empleadores, aunque sí lo es el uso por parte de adultos que quieren espiar el dispositivo de otro adulto. Distinto es lo que sucede en España, donde uso de este tipo de aplicaciones para espiar a los hijos es ilegal y su utilización en el dispositivo de un tercero sin su consentimiento es castigado con pena de uno a cuatro años de prisión. Antes, la responsabilidad del delíto caía en la figura del usuario que instalaba esta aplicación en el dispositivo de un adulto, pero a partir de una reforma del código penal aquellas empresas que proporcionen esta tecnología también son penados por la ley, asegura un artículo publicado en La Vanguardia. El problema está en la falta de controles que existe ante el uso de estas aplicaciones.

Según datos publicados por el medio estadounidense NPR en 2014, luego de investigar refugios a los que acudían mujeres y niños víctimas de acoso, el 85% de las víctimas era monitoreada permanentemente por sus acosadores a través del GPS, y en el 75% de los casos los abusadores espiaban remotamente las conversaciones de las víctimas utilizando aplicaciones para espiar.

Es importante que aquellos padres que están preocupados por el uso de la tecnología en sus hijos sepan que “la clave no está en el control que se implemente, sino en el diálogo que se tenga con los hijos y en acompañarlos el camino digital”, opina la Investigadora de Seguridad del Laboratorio de ESET Latinoamérica, Cecilia Pastorino. Y agrega, “se trata de enseñarles, mediante el diálogo y con el apoyo de herramientas digitales, cuáles son los peligros y riesgos en Internet, cuáles son sus responsabilidades, qué se debe y no se debe hacer y cuáles son las formas de protegerse”.

Según Camilo Gutiérrez, el Jefe del Laboratorio de ESET Latinoamérica, este tipo de aplicaciones, si bien un usuario las puede querer utilizar con un objetivo que le parezca legítimo, como por ejemplo velar por la seguridad de un menor, pueden estar atentando contra la privacidad de la información de una persona. Una aplicación que se instale en el dispositivo de una persona sin su consentimiento para monitorear sus actividades, ya puede considerarse como algo malicioso; de ahí que nuestras soluciones de seguridad las detecten como maliciosas. Es por esta razón que en entornos corporativos la instalación de soluciones de DLP en dispositivos usados por los empleados debe estar precedido de una firma de un contrato, o si los padres quieren instalar en el dispositivo de su hijo o hija una aplicación de control parental debe ir acompañado del diálogo y siempre buscando incrementar la seguridad, no controlar sus actividades.

Este tipo de aplicaciones pueden sobrepasar fácilmente la línea entre la privacidad y la seguridad; y por lo tanto es necesario que cualquier uso que se haga debe estar debidamente regulado y siempre respetar el marco legal de cada país, tanto por parte de la persona que la usa como por parte de los desarrolladores. Si se hace caso omiso a esto, pueden ocurrir incidentes como este de TheTruthSpy que puede dejar expuesta la información de muchos usuarios.

Te puede interesar también: