El novio de Jennifer dijo que no se le permitía poner una contraseña en su teléfono.

«Dijo que no lo necesitaba si confiaba en él», dijo. Pero eso no solo significaba que podía revisar sus mensajes si dejaba el dispositivo por ahí.

» Podía ver todo lo que estaba haciendo, sin importar dónde estuviera. Cuando rompimos, empezó a acosarme. Me sentí tan violada cuando me enteré.»

Jennifer, que no es su nombre real, es una de las muchas víctimas del acoso que recibió ayuda de Operation Safe Escape, un grupo de seguridad con sede en Estados Unidos que trabaja con víctimas de violencia doméstica, para identificar y lidiar con un potente software de rastreo instalado en secreto en su teléfono. Según el grupo, esta violación no es inusual.

Las aplicaciones utilizadas para el acecho y la vigilancia encubierta, que pisan una fina línea legal cuando se trata de privacidad de datos, se esconden en miles de teléfonos, a pesar de estar prohibidas por las principales tiendas de aplicaciones.

Aplicaciones como mSpy, TheTruthSpy y FlexiSPY permiten a los usuarios monitorear la actividad del teléfono de otra persona, incluidos sus registros de llamadas, el contenido de mensajes de texto y chat, datos GPS y fotos. Muchas aplicaciones de stalkerware, a menudo denominadas herramientas de «control parental» o de «monitoreo de empleados», también se anuncian como una forma de atrapar a socios tramposos, y tienen en cuenta que se pueden instalar de forma invisible en el teléfono de un objetivo.

La instalación generalmente requiere acceso físico al dispositivo; los usuarios pueden ocultar el icono de la aplicación y ver el contenido del teléfono de forma remota, iniciando sesión en un panel de control en línea que monitorea su actividad.

Aunque estas aplicaciones son secretas sobre el número de usuarios y los ingresos, la empresa de ciberseguridad Kaspersky Labs dijo que un número creciente de personas estaban siendo atacadas por stalkerware.

El año pasado, Kaspersky encontró y eliminó 58.000 instancias de stalkerware después de que los clientes utilizaran su aplicación antivirus, que busca código malicioso, para escanear sus dispositivos. En julio de 2019, su producto específico contra el acoso, que se lanzó en abril, había detectado aplicaciones maliciosas en teléfonos pertenecientes a más de 7000 clientes en todo el mundo.

Stalkerware » puede ser mucho más grave que otros tipos de malware . . . porque está hecho para ser utilizado como una herramienta para el abuso de la privacidad de otra persona y a menudo es utilizado por abusadores domésticos», dijo el investigador de seguridad Alexey Firsh.

La empresa antispyware Certo también dijo que la demanda había «ciertamente aumentado en los últimos años».

‘Vigilancia ilícita’

La disponibilidad barata de aplicaciones de vigilancia personal puede tener efectos devastadores. En 2014, una encuesta de la Radio Pública Nacional de 72 refugios de violencia doméstica en los Estados Unidos descubrió que el 85 por ciento había asistido a víctimas cuyos abusadores las habían rastreado mediante GPS. Ese mismo año, la Red Nacional para Poner Fin a la Violencia Doméstica descubrió que el 54% de los abusadores habían rastreado los teléfonos móviles de sus víctimas utilizando material de acoso.

El año pasado, en medio de crecientes preocupaciones, el senador estadounidense Richard Blumenthal buscó información de nueve fabricantes de aplicaciones que ofrecen software de seguimiento, incluidos mSpy y FlexiSPY, sobre cómo se aseguraron de que sus productos no se utilizaran para «fines ilegales», como el acecho o la «vigilancia ilícita».

El spyware está prohibido por la mayoría de las principales tiendas de aplicaciones, incluidas Apple y Google. En abril, Apple eliminó varias aplicaciones de control parental con el argumento de que eran excesivamente invasivas, y Google eliminó cuatro aplicaciones de stalkerware de su tienda esta semana después de que los investigadores de la compañía de antivirus Avast las identificaran.

Sin embargo, aplicaciones como mSpy se pueden descargar directamente en teléfonos Android a través de sus páginas de Internet. Esto no se puede hacer en iPhones a menos que estén «jailbreak», un proceso que elimina ciertos ajustes de seguridad instalados por Apple. Muchas aplicaciones de spyware anuncian descargas para iPhones con jailbreak.

Algunas aplicaciones también ofrecen una solución alternativa para iPhone, que requiere que el usuario obtenga acceso a los detalles de inicio de sesión de iCloud del objetivo. Luego, pueden monitorear de forma remota toda la información respaldada en la cuenta de iCloud, aunque no pueden escuchar las llamadas o escuchar los alrededores de un teléfono.

Esta solución alternativa no requiere que el usuario obtenga acceso físico al teléfono, a menos que exista una autenticación de dos factores, que pide a los propietarios de cuentas de iCloud que aprueben los inicios de sesión en dispositivos nuevos.

Mientras explicaba esta restricción, un representante de la aplicación de monitoreo Mobistealth proporcionó un enlace a una página web que explicaba cómo deshabilitar la autenticación de dos factores.

Dado que Apple no puede determinar si alguien con las credenciales correctas de iCloud es el propietario de la cuenta o un actor malicioso, es poco lo que puede hacer.

Un portavoz de mSpy dijo que su tecnología no era spyware, sino «software de control parental» desarrollado solo para ese propósito. Los padres pueden ocultar el icono de la aplicación para evitar que los niños la desinstalen, agregaron. Aunque su aplicación podría ser «mal utilizada», mSpy dijo que no podía decir si esto estaba sucediendo ya que los datos del usuario están encriptados.

‘A diferencia de cualquier cosa en la historia reciente’

En junio, investigadores de la Universidad de Toronto concluyeron en un estudio de aplicaciones de stalkerware que algunos productos estaban «diseñados abiertamente específicamente para eludir la privacidad y el control». También sugirieron que las aplicaciones infringían las nuevas normas de privacidad de la UE, en el Reglamento General de Protección de Datos.

El software» no cumpliría ninguna de las condiciones del RGPD » relacionadas con la recopilación y el uso de datos personales, dijeron los investigadores. Dado que las víctimas del acoso y el monitoreo pueden no saber que una aplicación está instalada en su teléfono, no pueden tomar decisiones sobre la recopilación y el procesamiento de su información confidencial, una parte clave del RGPD, dijeron.

FlexiSPY, que fue nombrado en el informe, anuncia servicios como» espiar «textos,» incluso mensajes eliminados», y dice que su software» indetectable «puede ayudar a atrapar a cónyuges» infieles». Highster Mobile y Mobistealth también comercializan sus productos como herramientas para atrapar a socios infieles, mientras que Hoverwatch destaca que su función de «modo oculto» es útil cuando «tienes que tomar la situación en tus propias manos».

TheTruthSpy incluso habla de su software como una alternativa al «hackeo»del» teléfono celular de la víctima».

Todas las aplicaciones se negaron a comentar. Pero sus términos de uso, algunos de los cuales dicen explícitamente que cumplen con el RGPD, generalmente establecen que los usuarios deben obtener el consentimiento del propietario del teléfono objetivo antes de instalar el software.

«Usted es el único responsable de cómo utiliza el software, & para cumplir con todas las leyes pertinentes», afirman los términos de Flexispy. «Si instala o intenta instalar nuestro software en un teléfono que no posee o que no tiene el consentimiento adecuado, cooperaremos con los funcionarios de la ley en la mayor medida posible», dice Highster Mobile.

Esto es «renunciar a su responsabilidad», dijo Cynthia Khoo, investigadora de Citizen Lab y una de las autoras del informe. «No vimos evidencia de que estas compañías tomaran medidas proactivas para prevenir el abuso o la violencia», dijo.

En caso de violación de datos, las aplicaciones de stalkerware estarían obligadas a notificar a sus clientes. Pero estas personas no necesariamente serían aquellas cuyos datos estaban en riesgo. Esta es una «falla grave», dijo Christopher Parsons, autor principal del informe.

Varias otras aplicaciones de monitoreo, incluidas Family Orbit y Retina-X, han sido el objetivo de «hackers éticos», que han irrumpido en sus sistemas y obtenido datos confidenciales para demostrar debilidades de seguridad.

Afirmar que cumple con el RGPD sobre la base del consentimiento, mientras que transmitir la responsabilidad de obtener ese consentimiento y los sistemas de publicidad explícita para el monitoreo de conversiones, parecen ser «completamente conversadores» y «posturas contrarias», dijo Paula Barrett, socia y codirectora de seguridad cibernética y privacidad de datos en el bufete de abogados Eversheds Sutherland.

El Consejo Europeo de Protección de Datos dijo que no se había elevado a su nivel ningún caso de acoso, aunque no podía decir si las autoridades nacionales habían presentado alguno.

El Comisionado de Privacidad de Canadá, que ayudó a financiar el informe de Toronto, dijo que estaba revisando los hallazgos. Algunas de las recomendaciones se hicieron eco de «preocupaciones y recomendaciones que hemos estado planteando durante algún tiempo», dijo un portavoz.

Cuando se le preguntó por qué mSpy no estaba disponible en la Play store de Google, un representante de servicio al cliente dijo que a la tienda «no le gusta lo que estamos haciendo aquí». Cuando se les preguntó por qué, dijeron que «no importa», y enviaron un enlace a un video que muestra cómo descargar el software a teléfonos Android.

Estas aplicaciones representan «la democratización de la vigilancia a diferencia de cualquier cosa que se me ocurra en la historia reciente», dijo el Dr. Parsons. «Es increíblemente íntimo e invasivo.»