Se filtran millones de datos sensibles de niños espiados por sus padres

Por segunda vez en tres años, mSpy, la compañía que dice que ayuda a más de un millón de clientes a espiar en los dispositivos móviles de sus hijos y parejas, filtra millones de récords de datos sensibles, incluyendo contraseñas, logs de llamadas, mensajes de texto, contactos, notas y datos de locación obtenidos desde teléfonos a los cuales secretamente se les instalaba la aplicación. 

El periodista y experto en cibercrimen Brian Krebs, divulgó hace unos días el descubrimiento de una vulnerabilidad realizado por el investigador Nitish Shah. Los principios obvios y básicos de la ciberseguridad nos plantean bastantes respuestas a temas éticos en torno a la tecnología. Analicemos la historia.

Cuando te transformas en el enemigo de tu familia, tu pareja o tu equipo de trabajo

mSpy es una firma de “monitoreo para control parental” que permite “monitorear remotamente toda la actividad del smartphone de tu hij@”. Con esta app puedes monitorear espiar la actividad de Whatsapp, Snapchat, Facebook Messenger, Instagram, SMS, los registros de llamadas, fotos, videos y uso de internet.

También es un keylogger, e incluso permite rastrear mediante los servicios de locación en el teléfono en que esté instalado. Esto quiere decir que la aplicación una vez instalada en el teléfono que se quiere espiar, puede acceder a estos datos, de modo de transferírselos al espía. Y esto, a su vez, implica que los datos producidos por los espiados, los hijos, en este caso, quedan en las manos de las compañías en donde estos datos son generados (grandes compañías de social media, que analizan estos datos y venden publicidad específicamente seleccionada sobre la base de esos datos), pero además, son recopilados y almacenados por mSpy, y quedan a la disposición de estos padres.

Estos datos ya no sólo están disponibles para las grandes empresas que toman medidas fortísimas en términos de seguridad informática, sino también para mSpy, que no sabemos cuán bien protege estos datos, y a merced de las medidas de seguridad que implementen estos padres para proteger sus teléfonos. Sobre estos datos sensibles, de niños que no saben que sus teléfonos están intervenidos, añadimos más posibilidades de divulgación involuntaria mientras más intermediarios manejen estos datos.

La lógica dice que los padres quieren proteger a sus hijos. Abrir la puerta a una divulgación de este tipo de datos es todo lo contrario a protegerlos. Al permitir que estos datos se almacenen, se da chance a la posibilidad de que estos datos se filtren, pues, si bien los fabricantes de software que lidien con datos personales debieran ser exhaustivos en sus procesos de seguridad, en la realidad sabemos que muchas aplicaciones dejan tus datos expuestos, y esto nos dice que no podemos confiar nuestros datos a tontas y a locas. Menos podemos hacerlo con datos que no nos pertenecen! Al usar un software espía en un teléfono ajeno o en el teléfono de un ser querido abres una posibilidad de que todos los datos que tú estés espiando sean conocidos por otras personas, ciberdelincuentes, que venden estos datos a otros ciberdelincuentes.

El protagonista de esta historia es mSpy, quien ya en mayo de 2015 fue hackeada y un montón de información incluyendo emails, mensajes de texto, información de pago, AppleIDs y contraseñas e información de geolocalización fue vertida a la Deep Web. La misma Deep Web del terror, en donde se encuentra de todo. Pero mSpy no es la única compañía que desarrolla este tipo de “soluciones” ni es la única compañía de este tipo que ha sufrido incidentes de ciberseguridad. De hecho, esta noticia viene precedida por una larga lista de historias similares, en las que otros fabricantes de spyware-as-a-service, o stalkerware son hackeados y los datos que trafican son expuestos. Como en el caso de Family Orbit, que expuso 281 gigabytes de fotos y videos de niños a la internet. También es de recalcar que estos stalkerwares son instalados muchas veces en teléfonos corporativos, para mantener bajo control las actividades de los empleados de las empresas, y en este caso, se exponen datos de los empleados, pero también de los clientes, proveedores y entorno de negocios. Si consideramos las posibilidades que se abren al tomar este tipo de medidas, el riesgo al que nos exponemos es mucho mayor que al mantener un diálogo honesto, franco, abierto y en desarrollar relaciones basadas en la confianza. Las relaciones basadas en la desconfianza nos generan más riesgos que oportunidades y es una cosa de lógica que poner datos sensibles en manos de compañías cuyo modelo de negocio sea lucrar mediante el espionaje no sea una buena idea.

El Responsible Disclosure (o Divulgación Responsable) nos protege de la ineptitud de las empresas que no toman en serio la ciberseguridad

Menos de una semana antes de que la historia fuese reportada, Nitish Shah dirigió a Krebs a una base de datos disponible desde la internet que permitía que cualquier persona consultara récords de mSpy, tanto transacciones de clientes en el sitio de mSpy, como datos recolectados desde teléfonos móviles por la aplicación espía de mSpy (además de las llaves de iCloud que permitirían el monitoreo remoto de los dispositivos infectados). La base de datos no requería autenticación y contenía millones de récords que incluían el nombre de usuario, la contraseña y la llave de encriptación de cada cliente de mSpy que se logueaba en el sitio o que había comprado licencias de mSpy durante los últimos 6 meses (junto a la completa historia de compra e información necesaria para individualizar e identificar a los clientes).  Estas llaves de encriptación le permitiría a cualquier persona rastrear y conocer los detalles de cualquier dispositivo móvil en donde estuviese instalado el stalkerware. Entonces, no sólo se exponían los datos privados y sensibles de los espiados, sino además, la información de los acosadores. Incluso se revelaban los logs de los usuarios de la plataforma web de mSpy, junto a el navegador y dirección IP de cada persona que visitase el sitio web de mSpy. O sea, están todos identificados!

Shah contó que al momento de alertar a la compañía de sus hallazgos, fue ignorado.

Estaba hablando con soporte, pero cuando pedí ser comunicado con el CTO o encargado de seguridad, fui bloqueado

5 días después de que KrebsOnSecurity alertó a mSpy acerca de esta tremenda falla de seguridad, recibió una respuesta vergonzosa, para la envergadura del hecho. 12 horas después que la base de datos fuese bajada de la internet (4 días después del aviso), Krebs publicó la historia.

Hackers e investigadores descubren vulnerabilidades minuto a minuto. La ‘Divulgación responsable’ es una manera de informar de una falla de seguridad descubierta. Para que estas vulnerabilidades no sean explotadas por cibercriminales, quienes descubren éstas los reportan al responsable del sistema inseguro.

Los investigadores muchas veces son recompensados por el hallazgo (se desarrollan cada vez más programas de bug bounties para incentivar esta verdadera forma de pentests independientes) e incluso colaboran en el arreglo del error. Pero sorprendentemente son más la veces en que estos reportes son ignorados, y detrás de esto, muchas veces, hay datos sensibles de personas reales que quedan expuestos, junto con el riesgo que esto implica, y sin que los afectados se enteren siquiera.

Debemos recalcar que quienes almacenan los datos se convierten en los custodios legales de ellos, y que su filtración implica riesgos que incluso sobrepasan lo virtual y cibernético y se trasladan a la vida real. Es por ello que muchos investigadores incluyen en sus modelos de divulgación responsable, una vez que la empresa ha sido notificada y ha tenido el tiempo prudente para arreglar la falla, la divulgación pública de las fallas. Esto permite que quienes sean afectados puedan enterarse de que su información privada esta expuesta, que puedan tomar medidas y que las compañías irresponsables se vean obligadas a bajar las bases expuestas.

En mercados más desarrollados es mandatorio para las compañías someterse a pruebas de seguridad periódicas llamadas “pentest” o pruebas de penetración y la obligatoriedad de éstas ayuda enormemente a generar un entorno más seguro. Lo cierto, por un lado, es que quienes reportan vulnerabilidades están, literalmente, otorgando servicios gratuitos a las empresas que han analizado, y por el otro, descubrimientos de este tipo deben ser solucionados apenas se tienen noticias de ellos. Lo contrario es lisa y llanamente, colaborar con los criminales.