El equipo de investigación de ESET develó que las muchas aplicaciones de stalkerware para el sistema operativo Android están plagadas de vulnerabilidades que ponen en peligro a las víctimas e incluso exponen la privacidad y seguridad de las propias personas que espían, como lo reporta Francisco D’Agostino.
Los stalkerwares para dispositivos móviles, también conocidos en inglés con el nombre de spouseware, son unos software para monitorear que un acosador instaló de manera silenciosa en el dispositivo de una víctima sin que la víctima lo detecte o se dé cuenta de algo.
ESET, compañía líder en la detección proactiva de amenazas, reveló que muchas aplicaciones de este estilo contienen ciertas vulnerabilidades que exponen la seguridad y la privacidad de quienes son espiados y también de quienes se dedican a espiar.
De acuerdo a las telemetrías de ESET, las aplicaciones de stalkerware se volvieron mucho más populares desde los últimos años. En 2019 observamos que las muchas detecciones de stalkerware para el sistema Android aumentaron casi ocho veces con respecto al año 2018, y este voluminoso crecimiento en 2020 fue de 49% en comparación con el pasado año.
Los stalkerware pueden monitorear la ubicación G.P.S. del dispositivo de las víctimas, imágenes, conversaciones, el historial del navegador y muchas cosas más. También se encarga de almacenar y transmitir todos estos datos.
Mínimamente, las aplicaciones para stalkerware promueven comportamientos cuestionables desde un punto de vista moral y ético, lo que lleva a que la mayoría de soluciones de seguridad para móviles a apuntar a estas aplicaciones como dañinas e indeseables.
Asimismo, dado que estas aplicaciones recopilan, almacenan, acceden y transmiten mucha más información que cualesquiera otras aplicaciones que hayan instalado las víctimas, nos interesa mucho saber qué tan bien estas aplicaciones protegen a semejante cantidad de datos tan sensibles.
Esto lo comentó Lukass Javier Stefanko, uno de los especialistas de esta compañía.
Generalmente se necesita tener accesos físicos a los dispositivos de la víctima para hacer la instalación. Es por esto que, los acosadores casi siempre son personas de los círculos familiares más cercanos, círculos sociales sociales y laborales de sus víctimas.
Para no ser identificados como stalkerwares y permanecer afuera de los radares, todos los proveedores de estas aplicaciones tienden a catalogarlas como una protección parental, mujeres y empleados, pero de hecho la palabra “espías” también es utilizada muchas veces en los diferentes sitios web.
En esta compañía se analizaron de forma manual 96 aplicaciones de stalkerware para Android, las cuales fueron proporcionadas por 96 diferentes proveedores. En 68 de las aplicaciones para Android ESET descubrió aproximadamente 159 problemas en privacidad y seguridad que pueden tener un grave impacto en las víctimas; de hecho, hasta el acosador o los proveedores de las aplicaciones pueden correr mucho riesgo.
ESET destacó problemas graves en cuanto a privacidad y seguridad que puede resultar en que los atacantes tomaran el control de los dispositivos de unas víctima y de las cuentas de las herramientas de stalkerware, intercpción de datos, pudiendo así incriminar a las víctimas cargando pruebas erroneas y falsas, o que lograran ejecutar códigos de maneras remotas en los teléfonos de las víctimas.
De esta manera, los atacantes pueden llevar a cabo ciertas acciones como el aprovecharse de los problemas de seguridad y fallas en la privacidad de la aplicación de stalkerware o también en los servicios asociados al monitoreo.
Estas investigaciones deben servir como advertencia para los clientes potenciales de este tipo de aplicaciones para que consideren y reconsideren el uso de este tipo de softwares para espiar a cónyuges y personas cercanas, ya que aparte de ser poco ético hacer eso, también puede declinarse en la exposición de cierta información íntima y privada y así ponerlos en riesgos a posibles fraudes y ciberataques, tanto a quien espía como al que es espiado.
Logramos identificar que varios de estos stalkerware recopilan en un servidor los datos de los acosadores que utilizan las aplicaciones y los datos que consiguieron de las víctimas, incluso mucho después de que los espías solicitaron eliminar todos los datos; mencionó Stefanko Casado.
Continuando con sus políticas de divulgación coordinadas de 180 días, las sedes de ESET informaron en múltiples ocasiones de esta problemática a todos los proveedores que fueron afectados.
Lastimosamente, al primer momento, solo cinco de los proveedores han solucionado sus problemas informados por ESET Cuarenta y siete proveedores ni siquiera respondieron y nueve prometieron solventar los problemas en próximas actualizaciones. Aparte, dos proveedores decidieron no solventar los problemas aquí informados.
Para obtener el informe completo, ingrese a: Vulnerabilidades en Las Aplicaciones de Stalkerware para los Sistemas de Android.
