mSpy, empresa de spyware móvil hackeada, miles de datos de clientes filtrados en la Dark Web

Empresa de Spyware Móvil mSpy Hackeada, Datos de Clientes Expuestos a Ciberacosadores

mSpy, una empresa de spyware móvil cuya base de datos ha aparecido en la Dark Web, parece haber sido severamente hackeada la semana pasada. Aparentemente, una gran cantidad de datos publicados en la Dark Web, como mensajes de texto, correos electrónicos, IDs de Apple, detalles de pago, contraseñas, fotos y datos de ubicación de los usuarios de mSpy, han sido expuestos, según informó el sitio web KrebsOnSecurity, que rompió la historia sobre la aparente violación aún por confirmar.

La tecnología de mSpy se vende como un medio para que los padres y empleadores espíen secretamente a los niños y empleados, como explica su descripción corporativa:

mSpy es la aplicación más popular y fácil de usar para vigilar a tus hijos, prevenir robos y supervisar el rendimiento de tus empleados. El software de monitoreo móvil funciona de manera invisible en el dispositivo objetivo para rastrear toda la actividad, incluyendo el historial de llamadas, ubicación GPS, actualizaciones de calendario, mensajes de texto, correos electrónicos, historial web y mucho más.

La empresa que habla de dos millones de usuarios y desarrolla tecnología para Windows, iOS, Android y PCs Mac aún no ha comentado sobre la aparente violación. Los hackers desconocidos detrás de la filtración sugieren que la base de datos contiene detalles de más de 400,000 mSpy que solo son accesibles a través de Tor, incluye IDs de Apple y contraseñas asociadas, datos de rastreo y detalles de pago en unas 145,000 transacciones exitosas. Tor es una tecnología que permite a los usuarios ocultar su verdadera dirección de internet y permite a los usuarios alojar sitios web que son muy difíciles de hackear.

Uno apenas puede sentir simpatía por mSpy por ser víctima, ya que las verdaderas víctimas de la aparente violación son sin duda los objetivos del espionaje en lugar de la empresa misma.

El estratega de seguridad global en Rapid7, fabricante de Metasploit, Trey Ford comentó: “Las personas que están siendo espiadas estaban teniendo su información robada por una parte, y ahora se está moviendo rápidamente a través del submundo.

“No solo es cuestionable la legalidad de instalar este software (CFAA, etc.), sino que aquellos que tienen el software en sus dispositivos han tenido sus vidas expuestas en una divulgación de información no contenida; es muy poco probable que las víctimas de este crimen comprendan la magnitud del daño durante mucho tiempo, si es que alguna vez lo hacen”, añadió.

“Esto subraya cómo la información sensible puede no estar necesariamente protegida por regulaciones y auditores. Los ejecutivos corporativos son efectivamente propietarios de la información, responsables de los datos recopilados, de cómo se almacenan y protegen, y de qué hacer cuando algo sucede”, añadió.

El conocido y respetado periodista Brian Krebs, a partir de sus investigaciones sobre la filtración de datos, dijo que una cosa es clara: “Hay una cantidad loca de datos personales y sensibles en esta caché, incluyendo fotos, datos de calendario, hilos de correos electrónicos corporativos y conversaciones muy privadas. También se incluyen en la filtración miles de correos electrónicos de solicitudes de soporte de personas de todo el mundo que pagaron entre $8.33 hasta $799 por una variedad de suscripciones al software de vigilancia de mSpy.”

No hay claridad sobre dónde tiene su sede mSpy. El sitio web de la empresa no parece listar una dirección física oficial, sugiere que tiene oficinas en Estados Unidos, Alemania y el Reino Unido. Por otro lado, los registros históricos de registro de sitios web muestran que la empresa está vinculada a una firma ahora no funcional llamada MTechnology LTD, que tiene sede en el Reino Unido.

Documentos obtenidos de Companies House, un registro oficial de corporaciones en el Reino Unido, indican que los dos miembros que fundaron la empresa son programadores autodescritos, Pavel Daletski y Aleksey Fedorchuk. Esos registros (PDF) muestran que Daletski es ciudadano británico y que el Sr. Fedorchuk es de Rusia. Ninguno de ellos pudo ser contactado para hacer comentarios.

Documentos judiciales (PDF) obtenidos del Tribunal de Distrito de EE. UU. en Jacksonville, Fla. sobre una disputa de marca registrada que involucra a mSpy y Daletski indican que mSpy tiene una dirección en EE. UU. de 800 West El Camino Real, en Mountain View, Calif. Esos mismos documentos judiciales indican que Daletski es director de una firma con sede en las Seychelles llamada Bitex Group LTD. La demanda fue curiosamente presentada por Retina-X Studios, un competidor de mSpy con sede en Jacksonville, Fla. que fabrica un producto llamado MobileSpy.

Las fuerzas del orden y los reguladores de EE. UU. han tomado una postura distinta sobre las empresas que ofrecen servicios de spyware móvil como mSpy. mSpy también describe que su producto funciona incluso en iPhones no desbloqueados, permitiendo a los usuarios acceder a los contactos, mensajes de texto, registros de llamadas, eventos, historial de navegación y notas del titular del dispositivo.

Las preguntas frecuentes de la empresa indican que “Si has optado por comprar mSpy Sin Jailbreak, y tienes las credenciales de iCloud del usuario móvil, no necesitarás acceso físico al dispositivo. Sin embargo, puede haber algunas instancias en las que el acceso físico puede ser necesario. Si compras mSpy para un teléfono o tableta iOS desbloqueada, necesitarás de 5 a 15 minutos de acceso físico al dispositivo para una instalación exitosa.”

En marzo de 2015, un portavoz de relaciones públicas de mSpy le dijo a KrebsOnSecurity que aproximadamente el 40 por ciento de los usuarios de la empresa son padres que están interesados en vigilar a sus hijos. Si consideramos que esta declaración es cierta, sería ridículo ver que tantos padres han expuesto involuntariamente a sus hijos a acosadores, depredadores y otros nerds debido a esta violación.