En un reciente incidente, se descubrió que una empresa brasileña de espionaje telefónico, conocida como WebDetetive, había sido hackeada. Este espía telefónico en idioma portugués ha comprometido más de 76,000 teléfonos Android en los últimos años, principalmente en Brasil. Sin embargo, esta no es la primera vez que una empresa de espionaje telefónico es víctima de un ataque cibernético.
En una nota sin fecha recientemente descubierta, los hackers no identificados describieron cómo encontraron y explotaron varias vulnerabilidades de seguridad que les permitieron comprometer los servidores de WebDetetive y acceder a sus bases de datos de usuarios. Al explotar otras fallas en el panel de control web del espía telefónico, utilizado por los abusadores para acceder a los datos robados de los teléfonos de sus víctimas, los hackers enumeraron y descargaron todos los registros del panel de control, incluyendo la dirección de correo electrónico de cada cliente.
Los ciberdelincuentes afirmaron que el acceso al panel de control también les permitió eliminar los dispositivos de las víctimas de la red del espía telefónico, lo que efectivamente cortó la conexión a nivel de servidor para evitar que el dispositivo cargara nuevos datos. "Lo hicimos definitivamente. Porque pudimos. Porque #fuckstalkerware", escribieron los hackers en la nota.
La nota se incluyó en una caché que contenía más de 1.5 gigabytes de datos extraídos del panel de control del espía telefónico. Estos datos incluían información sobre cada cliente, como la dirección IP desde la cual iniciaron sesión y su historial de compras. La información también enumeraba todos los dispositivos que cada cliente había comprometido, la versión del espía telefónico que se estaba ejecutando en el teléfono y los tipos de datos que el espía telefónico estaba recopilando del teléfono de la víctima.
Sin embargo, esta caché no incluía el contenido robado de los teléfonos de las víctimas. La organización sin fines de lucro DDoSecrets recibió los datos de WebDetetive y los compartió con para su análisis. Según los datos, WebDetetive ha comprometido un total de 76,794 dispositivos hasta la fecha del incidente. También se encontraron 74,336 direcciones de correo electrónico únicas en los datos, aunque WebDetetive no verifica las direcciones de correo electrónico de los clientes al registrarse, lo que impide cualquier análisis significativo de los clientes del espía telefónico.
Poco se sabe sobre WebDetetive más allá de sus capacidades de vigilancia. No es raro que los fabricantes de espías telefónicos oculten o disfracen sus identidades reales, dado los riesgos reputacionales y legales que conlleva producir espías telefónicos y facilitar la vigilancia ilegal de otros. WebDetetive no es una excepción, ya que su sitio web no indica quién es el propietario u operador de la aplicación.
Sin embargo, a través de un análisis más detenido, se descubrió que gran parte de la base de WebDetetive se puede rastrear hasta OwnSpy, otra aplicación ampliamente utilizada para espiar teléfonos. En una prueba realizada por la compañía Techcrunch descargó la aplicación de Android de WebDetetive desde su sitio web y la analizó en un entorno aislado para entender qué datos fluían hacia y desde la aplicación. Se encontró que WebDetetive era una copia modificada del espía telefónico de OwnSpy.
El agente de usuario de WebDetetive, que envía al servidor para identificarse, aún hacía referencia a OwnSpy, aunque estaba cargando datos ficticios del dispositivo virtual a los servidores de WebDetetive.
OwnSpy, desarrollado en España por Mobile Innovations, es una empresa con sede en Madrid dirigida por Antonio Calatrava. Según su sitio web, OwnSpy ha estado operando desde al menos 2010 y afirma tener 50,000 clientes, aunque no se sabe cuántos dispositivos ha comprometido hasta la fecha.
OwnSpy también utiliza un modelo de afiliados, lo que permite a otros obtener comisiones al promocionar la aplicación. No está claro si existe alguna otra relación operativa entre OwnSpy y WebDetetive. No se obtuvo respuesta de Calatrava cuando se le consultó sobre el incidente.
WebDetetive es la segunda empresa de espionaje telefónico que ha sido objetivo de un ataque cibernético que incluye la eliminación de datos en los últimos meses. LetMeSpy, otra aplicación de espionaje desarrollada por el polaco Rafal Lidwin, se vio obligada a cerrar después de un hackeo que expuso y eliminó los datos robados de los teléfonos de las víctimas de los servidores de LetMeSpy. Lidwin se negó a responder preguntas sobre el incidente.
Según los datos recopilados por TechCrunch, al menos una docena de empresas de espionaje telefónico han expuesto, filtrado o puesto en riesgo los datos robados de los teléfonos de las víctimas debido a la codificación deficiente y las vulnerabilidades de seguridad fáciles de explotar.
Hasta el momento, no se ha podido contactar a los administradores de WebDetetive para obtener comentarios. Un correo electrónico enviado a la dirección de soporte de WebDetetive sobre el incidente y si la empresa tiene copias de seguridad no recibió respuesta. No está claro si el fabricante del espía telefónico notificará a sus clientes o a las víctimas del incidente, ni si aún tiene los datos o registros necesarios para hacerlo. Los ataques destructivos, aunque infrecuentes, pueden tener consecuencias peligrosas e inesperadas para las víctimas de los espías telefónicos. Estas aplicaciones suelen notificar a los abusadores si se detiene el funcionamiento del espía telefónico o si se elimina del teléfono de la víctima. Cortar la conexión sin un plan de seguridad adecuado podría poner en peligro a las víctimas. La Coalición contra el Espionaje Telefónico, que trabaja para apoyar a las víctimas de estos abusos, ofrece recursos en su sitio web para aquellos que sospechen que su teléfono ha sido comprometido.
A diferencia de la mayoría de las aplicaciones de monitoreo telefónico, WebDetetive y OwnSpy no ocultan su aplicación en la pantalla de inicio de Android, sino que se disfrazan como una aplicación de Wi-Fi del sistema Android.
La detección de WebDetetive es relativamente sencilla. La aplicación aparece con el nombre "WiFi" y muestra un ícono inalámbrico blanco en un círculo azul sobre un fondo blanco. Al mantener presionada la aplicación y ver la información de la aplicación, en realidad se muestra como "Sistema".