Filtración de datos revela que una aplicación de monitoreo infantil tenía contraseñas de 62.000 usuarios

Datos privados de más de 62.000 usuarios de Catwatchful, una aplicación supuestamente destinada al control parental, quedaron expuestos tras una filtración que comprometió sus contraseñas y correos electrónicos.

Una vulnerabilidad permitió el acceso no autorizado a la base de datos completa de lo que resultó ser un software de espionaje enmascarado como una herramienta de monitoreo infantil.

La filtración, detectada por el investigador en seguridad Eric Daigle, dejó al descubierto información que permitía rastrear no solo a quienes utilizaban la app para espiar a otros —supuestamente menores bajo su tutela— sino también a las personas cuyos dispositivos resultaron intervenidos. Los registros indican que alrededor de 26.000 teléfonos fueron víctimas de seguimiento, sobre todo en México, Colombia, India, Perú, Argentina, Ecuador y Bolivia.

Catwatchful llegó a almacenar fotografías, mensajes, ubicaciones en tiempo real y archivos de audio capturados mediante el micrófono de los dispositivos intervenidos, además de habilitar el acceso remoto a las cámaras, informó TechCrunch. El modo de funcionamiento exigía la instalación directa en los teléfonos a vigilar, un requisito que ha hecho que este tipo de aplicaciones sean conocidas también como stalkerware.

La base de datos filtrada contenía tanto las direcciones de correo como las contraseñas de quienes abonaban por el servicio. El error de seguridad se localizó en la API personalizada de la aplicación, que no implementaba mecanismos de autenticación y permitía a cualquier usuario consultar la información almacenada tan solo con acceder por internet. La exposición afectó a registros acumulados desde 2018.

De acuerdo con el análisis de Daigle, Catwatchful utilizaba Firebase, plataforma de desarrollo de Google, para alojar datos sensibles extraídos de los dispositivos. El problema de seguridad fue reportado y llevó al bloqueo temporal de la cuenta del desarrollador, aunque la operación regresó en línea después mediante el alojamiento en HostGator. Una portavoz de HostGator no ofreció declaraciones sobre el caso.

Al confirmarse el uso de Firebase para el almacenamiento de los datos robados, se notificó a Google, que reaccionó implementando actualizaciones en Google Play Protect, la función de seguridad interna de Android que detecta aplicaciones maliciosas. Desde ese momento, los usuarios reciben advertencias si el sistema encuentra la presencia de Catwatchful o de su instalador. Google declaró estar evaluando si las actividades de la aplicación infringían sus políticas, posición que se mantiene al no haber suspendido hasta el momento el almacenamiento en Firebase.

“Todas las aplicaciones que hacen uso de Firebase deben respetar nuestros términos de servicio y nuestras políticas. Estamos investigando este caso concreto, y si identificamos alguna infracción, se tomarán medidas apropiadas. Los usuarios de Android que intenten instalar estas aplicaciones cuentan con la protección de Google Play Protect”, indicó Ed Fernandez, portavoz de Google.

Una equivocación en las primeras entradas de la base de datos reveló la identidad del desarrollador detrás de Catwatchful. Omar Soca Charcov, con sede en Uruguay, quedó vinculado directamente debido a que aparecía como el primer registro en el conjunto filtrado. Los datos incluían su nombre, número telefónico y la dirección web del servidor específico de Firebase utilizado por el spyware.

En tanto, la dirección de correo electrónico personal de Charcov, hallada en el conjunto de datos, coincidía con la publicada en su perfil de LinkedIn y figuraba como dirección de recuperación de la cuenta de administración de Catwatchful.

Según TechCrunch, Charcov recibió solicitudes de comentario en inglés y español, sin que hasta el momento se haya pronunciado sobre la filtración o sobre la potencial notificación a los usuarios afectados.