ESET, compañía en detección proactiva de amenazas, analiza el caso de “TheTruthSpy”, una empresa que comercializa a nivel mundial una aplicación para dispositivos Android e iOS dirigida a usuarios hogareños y que promueve sus productos destacando la posibilidad de espiar el dispositivo de un tercero. TheTruthSpy fue víctima de un ataque informático en el que robaron accesos de los usuarios, grabaciones de audio de las víctimas, fotos y chats, entre otros datos.
La compañía es una de las más conocidas en cuanto a comercialización de apps que pueden considerarse como spyware (una variedad de aplicaciones con características maliciosas y que de manera sigilosa permiten la vigilancia remota de contraseñas y otra información sensible) a usuarios hogareños a nivel mundial. En su sitio web promociona el producto como una herramienta de control parental, una herramienta para seguir los pasos de su pareja o incluso para empleadores que pretenden monitorear a sus trabajadores, lo que hace que pueda considerarse como spyware es la manera en que se instala en el dispositivo del usuario espiado. Puntualmente la polémica aplicación permanece oculta en el dispositivo y ofrece la posibilidad de monitorear en tiempo real la ubicación de la persona espiada a través del GPS, controlar su dispositivo de manera remota, tener un registro de las llamadas y los mensajes de texto, ver los archivos multimedia en el dispositivo afectado y además brinda acceso a las contraseñas de las cuentas que utiliza la persona acosada, permitiendo al espía ingresar a sus redes sociales y correo electrónico.
Inicialmente la noticia de la vulneración de la información de esta aplicación fue revelada por el sitio Motherboard de Vice. El atacante, dialogó con Motherboard y comentó que en febrero de este año logró ingresar al servidor de la empresa y accedió a más de 10.000 nombres de usuarios de clientes de distintas partes del mundo, así como a sus contraseñas, las fotografías y grabaciones de audio provenientes del dispositivo de las personas que estaban siendo espiadas, información sobre la localización, mensajes de texto, entre otra información. El atacante fue crítico con la compañía desarrolladora de esta aplicación al decir que “se preocupan de cómo promocionar un producto para espiar, pero no se preocupan de cómo hacer para proteger la privacidad de los atacantes y de las víctimas”.
Por otra parte, comentó al periodista que una gran cantidad de los consumidores del servicio reutilizaban la misma contraseña en servicios como el correo, PayPal o Amazon. Y aseguró que, si bien accedió a estas cuentas, no robó nada de dinero.
A pesar de que interceptar las comunicaciones de un tercero es ilegal en la gran mayoría de los países del mundo, estas aplicaciones son de fácil acceso para los usuarios. “Es importante que aquellos padres que están preocupados por el uso de la tecnología en sus hijos sepan que la clave no está en el control basado en una aplicación para espiar lo que hacen sus hijos con sus dispositivos, la protección debe partir del diálogo que se tenga con los hijos y en acompañarlos el camino digital y de ser necesario usar herramientas de control parental, pero siempre con el conocimiento de los chicos”, opina la Investigadora de Seguridad del Laboratorio de ESET Latinoamérica, Cecilia Pastorino. Y agrega, “se trata de enseñarles, mediante el diálogo y con el apoyo de herramientas digitales, cuáles son los peligros y riesgos en Internet, cuáles son sus responsabilidades, qué se debe y no se debe hacer y cuáles son las formas de protegerse”.