Los riesgos del spyware comercial “legal”

4 Abr 2019

Podemos afirmar que casi todo el mundo ha querido espiar a alguien, al menos una vez en su vida, ya sea para asegurarse de que la pareja le es fiel, de que el hijo no se junta con quien no debe o que un empleado no esté siendo atraído por la competencia. La demanda de tecnologías para espiar a compañeros o familiares está al alza, lo cual, a su vez, genera una gran oferta.

La oferta consiste en una impresionante variedad de las denominadas aplicaciones de espionaje “legales” (dependiendo del país, en España por ejemplo no lo es, pero eso no quiere decir que no sea posible conseguirlas en la red).  Estás apps, también conocidas como stalkerware o spouseware, pueden instalarse en los dispositivos de los empleados o los miembros de tu familia por una tarifa relativamente baja. Estas aplicaciones permanecen ocultas y mantienen a sus usuarios al tanto sobre la ubicación del dispositivo, el historial de navegación, los mensajes SMS, las conversaciones en redes sociales y demás. Incluso algunas de ellas pueden registrar vídeos o audios.

El stalkerware: antiético, aunque (casi) legal

Desde un punto de vista moral, no está bien visto el uso del stalkerware, ya que se instala sin el conocimiento ni consentimiento del propietario, opera en segundo plano y tiene acceso a información muy personal. Sin embargo, estas aplicaciones no son ilegales en muchos países, aunque espiar a familiares constituye un delito enjuiciable. Por ello, los desarrolladores recurren a los vacíos legales, por ejemplo, refiriéndose a estas aplicaciones como soluciones de control parental.

No es de extrañar que la gente siga comprando estas aplicaciones técnicamente legales, aunque no sean éticas. El año pasado, más de 58.000 usuarios detectaron stalkerware en sus teléfonos o tablets tan solo con la ayuda de nuestros productos. De entre ellos, 35.000 lo desconocían por completo hasta que nuestra solución de protección concluyó su primer análisis.

El stalkerware puede filtrar tus datos

A pesar de ser legal, el stalkerware puede ser peligroso. Estas aplicaciones ponen en riesgo tanto al autor como a la víctima del espionaje. ¿Cómo transmiten estas aplicaciones los datos recopilados a la persona que los instaló? Pues subiéndolos a un servidor al que el usuario puede acceder y filtrar los resultados. Por tanto, si decides espiar a un empleado del cual sospeches de su actividad, todos los mensajes que envíe y reciba con documentos confidenciales e información sobre proyectos, incluidos los mensajes contigo, se almacenarán en este servidor. Si estás ansioso por conocer los secretos de la persona a la que amas, tus mensajes también irán a parar al registro.

Pero, teniendo en cuenta que tú eres el único con acceso a esos datos, ¿cuál es el problema? Pues que quizás no seas el único. Seguramente el desarrollador de la aplicación también pueda acceder o, peor aun, estos datos confidenciales pueden terminar en manos de los ciberdelincuentes o, incluso, acabar publicados.

En agosto del 2018, un investigador conocido como L. M. halló una vulnerabilidad en la aplicación TheTruthSpy de Android que enviaba datos de inicio de sesión y contraseñas sin cifrar. El ciberdelincuente aprovechó esta situación y se apoderó de fotos, grabaciones de audio, mensajes y datos de ubicación de cerca de 10.000 dispositivos controlados mediante el spyware.

En marzo del 2019, otro investigador, Cian Heasley, descubrió que el servidor de MobiiSpy se había hecho público. Contenía más de 95.000 fotos, incluyendo algunas íntimas, y más de 25.000 grabaciones de voz. Codero, el proveedor del alojamiento web de MobiiSpy, respondió al incidente bloqueando el recurso.

Según Motherboard, un total de 12 desarrolladores de aplicaciones de stalkerware han filtrado datos en los dos últimos años. Por tanto, si instalas dichas aplicaciones en el dispositivo de alguien, lo más seguro es que tanto tú como la víctima de espionaje acabéis comprometidos.

El stalkerware vulnera la protección del dispositivo

Incluso el proceso de instalación del stalkerware es inseguro. En primer lugar, muchas de estas aplicaciones no cumplen con las políticas de las tiendas oficiales como Google Play, por lo que no las encontrarás por allí. Eso significa que, en el caso de un dispositivo Android, debes aprobar la instalación de aplicaciones de terceros, lo cual, a su vez, abre la puerta al malware.

En segundo lugar, el stalkerware suele exigir muchos permisos de sistema, incluso permisos root, lo cual cede a la aplicación el control total del dispositivo, incluido el derecho a instalar otras aplicaciones.

Además, algunas aplicaciones de espionaje insisten en que se desactiven las soluciones de protección, de hecho, si se les concede el permiso, pueden encargarse ellas mismas de esta tarea.

Esta es la diferencia entre el stalkerware y las aplicaciones de control parental legales, las cuales no tratan de esconderse en el dispositivo o desactivar el antivirus y que, además, pueden encontrarse en tiendas oficiales. Por ello, las aplicaciones de control parental, a diferencia del stalkerware, no suponen una amenaza para sus usuarios.

Cómo protegerte del stalkerware “legal”

Como puedes apreciar, lo mejor es pensárselo dos veces antes de instalar una aplicación de stalkerware en el dispositivo de alguien. Asimismo, te aconsejamos que sigas estas recomendaciones para que nadie pueda instalar un “regalo” de estas condiciones en tu dispositivo:

  • Protege tus dispositivos con contraseñas de confianza y no las reveles nunca, ni siquiera a tus familiares.
  • Bloquea la instalación de aplicaciones de terceros. Esto te protegerá contra el stalkerware y malware.
  • Comprueba periódicamente las aplicaciones instaladas en tu teléfono y elimina las que no necesites. Eso también liberará memoria y reducirá el tráfico pagado.
  • Utiliza una protección de confianza. Aunque el stalkerware se considera legal en algunos países y no se identifica como malware, muchos antivirus lo detectan y alertan a los usuarios al respecto; se refieren a él como un no-virus, un tipo de amenaza que no deberías ignorar.

Si utilizas Kaspersky Internet Security for Android, ya no tendrás que intentar distinguir los tipos de amenazas y sus nombres. No creemos que sea correcto referirse al stalkerware como un “no-virus” sin una explicación de por medio, ya que le resta peligrosidad. Por ello, hemos desarrollado una nueva función, una alerta de privacidad que notifica a los usuarios sobre los problemas y les explica los posibles riesgos. Una vez que tu actualización se haya completado, verás esto: