La polémica aplicación de rastreo SpyX sufrió una filtración masiva de datos el año pasado. Este caso permaneció totalmente oculto hasta nuestros días. La brecha revela que SpyX y otras dos aplicaciones móviles relacionadas tenían registros de casi 2 millones de personas en el momento del incidente, incluidos miles de usuarios de Apple.

SpyX es una aplicación de software espía, también conocida como stalkerware, diseñada para monitorear dispositivos Android y Apple. Aunque se promociona como una herramienta de control parental, muchas veces es utilizada para espiar a personas sin su consentimiento, lo cual es ilegal en muchas jurisdicciones. Este tipo de software recopila información de la víctima y la transmite a una entidad externa sin su conocimiento.

La filtración de datos se remonta a junio de 2024, pero hasta ahora no se había reportado. No hay indicios de que los operadores de SpyX hayan notificado a sus clientes ni a las personas afectadas por el spyware.

La filtración revela que SpyX también afecta a usuarios de Apple

Troy Hunt, creador del sitio de notificación de filtraciones Have I Been Pwned, recibió una copia de los datos comprometidos en dos archivos de texto. Estos archivos contenían 1.97 millones de registros de cuentas únicas con direcciones de correo electrónico asociadas.

Según Hunt, la gran mayoría de las direcciones de correo electrónico pertenecen a SpyX. Sin embargo, el archivo también incluía 300,000 direcciones asociadas con dos clones casi idénticos de SpyX: Msafely y SpyPhone.

Aproximadamente el 40% de las direcciones de correo ya estaban registradas en Have I Been Pwned, indicó Hunt. Como en otras filtraciones de spyware, Hunt marcó la filtración de SpyX como “sensible”. Esto significa que solo las personas con una dirección de correo afectada pueden verificar si su información ha sido comprometida.

Otro spyware, otra filtración de datos

SpyX se comercializa como un software de monitoreo móvil para dispositivos Android y Apple. Supuestamente está diseñado para el control parental de los teléfonos de los niños.

Sin embargo, el malware de vigilancia como SpyX también es conocido como stalkerware (o spouseware) porque en muchos casos se promociona explícitamente como una forma de espiar a la pareja o a una persona cercana, lo que generalmente es ilegal sin su consentimiento. Incluso cuando no se publicita con este propósito, las aplicaciones de spyware suelen compartir las mismas capacidades sigilosas de robo de datos.

El spyware de nivel consumidor funciona generalmente de dos maneras:

1. En dispositivos Android: Aplicaciones como SpyX no están disponibles en Google Play, por lo que deben descargarse desde fuentes externas. Para instalarlas, se necesita acceso físico al dispositivo de la víctima y su código de desbloqueo para debilitar la seguridad del sistema e instalar el spyware.
2. En dispositivos Apple: Apple impone reglas más estrictas para las aplicaciones en su App Store. Por lo que el stalkerware en iOS suele aprovecharse de las copias de seguridad de iCloud. Con las credenciales de iCloud de una persona, el spyware puede descargar continuamente la copia de seguridad más reciente del dispositivo desde los servidores de Apple. Estas copias almacenan mensajes, fotos y datos de aplicaciones, lo que permite espiar a la víctima.

Miles de credenciales de Apple comprometidas en la filtración

Uno de los archivos filtrados contenía alrededor de 17,000 combinaciones de nombres de usuario y contraseñas de cuentas de Apple en texto plano, lo que sugiere que el spyware accedía a iCloud.

Para verificar la autenticidad de los datos, Hunt contactó a algunos suscriptores de Have I Been Pwned cuyos correos electrónicos de Apple aparecían en la filtración. Varios de ellos confirmaron que la información era precisa.

Hunt compartió la lista de datos filtrados con Apple antes de la publicación del informe.

Apple no hizo comentarios antes de la publicación, pero posteriormente, la portavoz Sarah O’Rourke declaró:

“Cuando filtraciones de datos en otras compañías ponen en riesgo cuentas de Apple, nuestros equipos de seguridad trabajan rápidamente para investigar y proteger a nuestros usuarios. En este caso, menos de 250 usuarios de iCloud fueron afectados y aseguramos sus cuentas de inmediato”.

En cuanto al resto de los correos y contraseñas en los archivos filtrados, no está claro si eran credenciales activas para algún otro servicio además de SpyX y sus aplicaciones clonadas. Mientras tanto, Google eliminó una extensión de Chrome vinculada a la operación de SpyX.