¡Alerta! Una nueva vulnerabilidad de seguridad ha dejado a los usuarios del spyware conocido como Catwatchful en una situación crítica. Este software, que se presenta como una aplicación de monitoreo infantil, ha expuesto información sensible, como direcciones de correo electrónico y contraseñas en texto plano, de más de 62,000 clientes. La falla fue detectada por el investigador de seguridad Eric Daigle, y resalta los riesgos que conlleva el uso de aplicaciones de este tipo, que aunque son ilegales, siguen proliferando en el mercado.
Detalles de la vulnerabilidad
Catwatchful se disfraza de herramienta de vigilancia “invisible”, y permite a sus usuarios acceder a una serie de datos robados de los teléfonos de sus víctimas. ¿Te imaginas? Esto incluye fotos, mensajes, ubicación en tiempo real, y hasta la posibilidad de activar el micrófono y las cámaras del dispositivo. Este spyware se distribuye de manera clandestina, ya que está prohibido en las tiendas de aplicaciones, y requiere que el agresor tenga acceso físico al teléfono de la víctima.
A raíz de esta brecha de datos, se ha confirmado que la base de datos de Catwatchful contenía información de clientes de varios países, incluyendo México, Colombia, India y Perú. Algunos de estos datos se remontan hasta 2018. Este incidente representa el quinto caso de fuga de datos en operaciones de spyware en lo que va del año, evidenciando la fragilidad de estas aplicaciones a pesar de su creciente popularidad.
Identificación del administrador y respuesta de las autoridades
El administrador de la operación, Omar Soca Charcov, ha quedado expuesto tras esta brecha de seguridad. A pesar de las solicitudes de comentarios, Charcov no ha respondido. En un intento de notificar a los afectados, TechCrunch ha compartido la información sobre la vulnerabilidad con el servicio de notificación de violaciones de datos, Have I Been Pwned.
El investigador Daigle menciona que Catwatchful utiliza una API personalizada que no requiere autenticación, lo cual permite el acceso no autorizado a la base de datos de usuarios. Esto significa que cualquier persona en Internet podría interactuar con la base de datos sin necesidad de credenciales. ¡Increíble, pero cierto!
Reacciones de Google y medidas de protección
Ante la revelación de esta vulnerabilidad, Google ha implementado nuevas medidas de protección a través de Google Play Protect, una herramienta diseñada para escanear aplicaciones maliciosas en dispositivos Android. La compañía ha confirmado que alertará a los usuarios si detecta la presencia de Catwatchful en sus dispositivos.
Sin embargo, hasta el momento, Catwatchful sigue alojado en Firebase, el servicio de Google que permite almacenar datos. Google ha indicado que está investigando si la operación de Catwatchful viola sus términos de servicio, pero no ha tomado medidas inmediatas para cerrar la operación.
A medida que la tecnología avanza, la lucha entre la seguridad y el espionaje digital se intensifica. Las aplicaciones de spyware como Catwatchful destacan la necesidad urgente de una regulación más estricta y de una mayor conciencia sobre la privacidad digital entre los usuarios. ¿Qué medidas estás tomando tú para proteger tu información personal?
