Espías de andar por casa más allá de Pegasus

Han corrido ríos de tinta informando de Pegasus y otro software espía que utilizan los gobiernos para romper la privacidad de periodistas, activistas, políticos… Pero existe otro software espía (spyware) más común, ese que quizás está utilizando la persona que tienes enfrente, que ha descargado de Google Play (resulta más sencillo en Android que en iOS) y con la que está haciéndose con tus secretos.

Existen aplicaciones móviles (app) que, bajo la apariencia de herramientas para monitorizar la actividad digital de los menores, están utilizándose con otro propósito. Conocidas también como stalkerware (software acosador), estas aplicaciones permiten, por ejemplo, rastrear a la pareja sin su consentimiento. Por lo general, para ser instaladas en el teléfono se requiere que el acosador tenga acceso al dispositivo pero, una vez instaladas, son capaces de registrar llamadas, mensajes, fotografías, datos de ubicación… sin que la víctima sea consciente de ello.

A principios de año, el Techcrunch denunciaba la cantidad de aplicaciones espía accesibles por cualquiera y con la que se estaban vulnerando los derechos de miles de personas. En un primer estudio, se reveló que al menos 400.000 teléfonos en países como EEUU, Brasil, Indonesia, India, Jamaica, Filipinas, Sudáfrica o Rusia estaban comprometidos a diario. La Universidad Carnegie Mellon advertía también de ello, advirtiendo de una falla de seguridad con la que atacantes remotos no autenticados eran capaces de acceder y recopilar información en los teléfonos móviles de terceros.

Entre las aplicaciones más intrusivas, casi idénticas, cuya infraestructura de servidor es compartida destacan Copy9, MxSpy, TheTruthSpy, iSpyoo, SecondClone, TheSpyApp, ExactSpy, FoneTracker y GuestSpy. De funcionamiento clónico, compartiendo incluso el mismo interfaz para ser configuradas, estas apps no sólo tienen en común su apariencia y propósito, también una vulnerabilidad conocida como referencia de objeto directo insegura (IDOR). Esta falla de seguridad en el control de acceso permite la entrada de un usuario no validada, de manera que un tercero podría acceder al dispositivo e instalar software. Simplificando, vendría a ser como si te roban la llave de tu buzón y esa misma llave resulta que abre los buzones de todo el barrio.

Meses después de aquel hallazgo, Techcrunch afirma haber recibido, de una fuente que no desvela, decenas de gigabytes de datos descargados de los servidores de stalkerware. Según revela, contiene la base de datos central de unos 34 GB que incluye los registros detallados de cada uno de los dispositivos Android comprometido con  TheTruthSpy, desde 2019 e incluso antes.

Entre el contenido de esta base de datos hay toda suerte de metadatos, desde horas y fechas, a contraseñas y códigos de autenticación de dos factores, registros de llamadas, mensajes de texto y datos de ubicación, incluso nombres de redes Wi-Fi a las que se conectó un dispositivo y lo que se copió y pegó desde el portapapeles… El spyware no había recogido tanto la grabación de las llamadas o las fotos y vídeos, sino la información de cuándo se produjeron, dónde, su duración, etc. En esta base de datos también se encontraba la dirección de correo electrónico de las personas que se registraron para utilizar estas aplicaciones stalkerware.

Tras un exhaustivo análisis, el medio encontró que las víctimas se extienden en todos los continentes, con la red TheTruthSpy amparada por la dificultad que tienen las autoridades en atajar la situación dada la zona gris en la que se desenvuelve, pues si bien espiar sin consentimiento es ilegal, la venta de aplicaciones de monitorización parental no lo es. En este primer análisis se han identificado cerca de 360.000 dispositivos, con sus IMEI incluidos en el caso de los teléfonos móviles.

La investigación revela que cada día se ven comprometidos cientos de dispositivos nuevos, pues en el lapso de seis semanas que duró el análisis se registraron 9.400 nuevos terminales comprometidos. Sólo en seis semanas, más de 1,2 millones de mensajes de texto con el nombre de contacto del destinatario, y 4,42 millones de registros de llamadas, incluidos registros detallados de quién llamó a quién, durante cuánto tiempo y el nombre y número de teléfono de su contacto… Resulta sobrecogedor e inquietante conocer cómo en ese mes y medio se acumularon 179.055 entradas de archivos de grabación de llamadas que se almacenan en otro servidor TheTruthSpy y otros  473.211 registros de fotos y videos subidos, incluidas capturas de pantalla, fotos recibidas de aplicaciones de mensajería y guardadas en el carrete de la cámara. La precisión de este stalkerware es tal que también recoge lo que teclea el usuario, como prueban los más de 454.000 registro de teclas que revelan contraseñas, códigos de acceso, etc.

¿Estoy infectado?

Las víctimas desconocen si su privacidad ha sido vulnerada y, precisamente para tratar de resolverlo, Techcrunch ha puesto a disposición de las personas interesadas una herramienta con la que es posible averiguarlo. Tan sólo es necesario teclear el IME del teléfono en el buscador que aparece en esa página.

Adicionalmente, es posible tomar otras medidas para saber si nuestro teléfono móvil ha sido infectado. En caso de descubrirlo, es preciso tener en cuenta dos aspectos: en primer lugar, que hemos perdido control sobre los datos ya robados (ahí ya poco se puede hacer); en segundo, que eliminar el software espía podría alertar al acosador, con las consecuencias que ello puede implicar. Por este motivo, lo más recomendable es acudir a las autoridades.

Android cuenta con una funcionalidad llamada Google Play Protect con la que resulta sencillo averiguar si tenemos instaladas aplicaciones maliciosas en nuestro teléfono. Para hacer comprobar si está habilitada la funcionalidad y hacer uso de ella basta seguir lo siguientes pasos:

• Abra la aplicación Google Play Store.
• Arriba a la derecha, toque el icono del perfil y toque en Ajustes.
• En Información, compruebe que su dispositivo tiene la certificación de Play Protect.

Para activarlo –aunque por defecto debería estarlo siempre-, los pasos son muy similares:

• Abra la aplicación Google Play Store.
• Arriba a la derecha, toque el icono del perfil y toque Play Protect.
• A continuación toque Ajustes y active y analice aplicaciones con Play Protect.

Por descontado que contar con una aplicación de seguridad aumenta la protección contra el stalkerware. Asimismo, no está de más comprobar si nuestra batería se agota muy rápidamente sin motivo aparente o si el consumo de datos móviles se dispara: pueden ser señales de que una aplicación espía se está ejecutando en nuestro dispositivo.