Una brecha en las apps de rastreo Cocospy y Spyic expone datos personales de millones de usuarios

Una vulnerabilidad de seguridad registrada en las aplicaciones 'stalkerware' Cocospy y Spyic permite a los ciberdelincuentes acceder a datos personales de millones de usuarios, que pueden comprobar si su información está en riesgo a través del portal Have I Been Pwned?

Cocospy y Spyic son aplicaciones móviles destinadas al control parental, de modo que permiten el rastreo de teléfonos que permite a los usuarios supervisar la ubicación, los mensajes y el historial de llamadas de sus hijos o menores a su cargo.

Este tipo de 'software', también conocido como 'stalkerware', también se puede utilizar con fines maliciosos, ya que permite a un acosador conocer todos los movimientos de una persona sin si conocimiento ni consentimiento.

Debido a esto, las aplicaciones de 'stalkerware' están prohibidas en las tiendas de aplicaciones, de modo que suelen descargarse directamente de la página del proveedor del 'software', de modo que no pasan por el proceso de verificación de seguridad que proponen App Store y Google Play Store para ofrecerlas.

Un investigador de ciberseguridad ha advertido una vulnerabilidad que está exponiendo los datos personales de millones de personas que tienen Cocospy y Spyic instaladas en sus dispositivos, tal y compartido recientemente TechCrunch.

Esta falla permite que cualquier individuo pueda acceder a datos confidenciales como mensajes, fotos o registros de llamadas, entre otra información. Asimismo, expone las direcciones de correo electrónico de las personas que se registraron en dichas 'apps'.

Aprovechando esta vulnerabilidad, este experto ha recopilado 1,81 millones de direcciones de correo electrónico de clientes de Cocospy y 880.167 direcciones de usuarios de Spyic; y se las ha proporcionado al especialista de seguridad Troy Hunt, que dirige el servicio de notificación de infracciones Have I Been Pwned?

Por su parte, Hunt ha confirmado a TechCrunch que, tras eliminar las direcciones duplicadas que aparecieron en ambos lotes de datos, había cargado en su servidor un total de 2,56 millones de direcciones de correo electrónicas únicas registradas con Cocospy y Spyic.

Asimismo, ha clasificado los cachés de Cocospy y Spyic como "sensibles", lo que quiere decir que no se pueden buscar públicamente, sino que solo puede hacerlo su propietario, previa verificación a través de un sistema de notificación, según se explica en su web.

De acuerdo con el recuento actual de TechCrunch, ambas se encuentran entre las 23 operaciones de vigilancia conocidas desde 2017 que han sido hackeadas y violadas o han expuesto de otra manera datos confidenciales de sus víctimas.

Esta web también ha recordado que los investigadores de seguridad Vangelis Stykas y Felipe Solferini analizaron varias familias de 'stalkerware' en 2022 y encontraron evidencias que vinculan el funcionamiento de Cocospy y Spyic con 711.icu, un desarrollador de aplicaciones con sede en China.

Para conocer el alcance del riesgo al que se exponen los usuarios, este medio ha hecho una serie de pruebas desde un dispositivo virtual, que permite ejecutar aplicaciones en un entorno seguro sin dar datos reales del termminal.

En primer lugar, han advertido que las 'apps' se hacen pasar por una aplicación de servicio del sistema, que parece evadir su detección como fraudulentas al mezclarse con las aplicaciones integradas de Android.

Empleando una herramienta de análisis de red, los miembros de TechCrunch comprobaron que ésta enviaba los datos del dispositivo a través de Cloudflare y que las aplicaciones cargaban la información de las víctimas a un servidor de almacenamiento en la nube alojado en Amazon Web Services.

Finalmente, este medio ha recordado que estas aplicaciones se suelen ocultar con nombres que no las identifican, como 'Servicios del sistema'. Para comprobar si están instaladas en móvil, se debe marcar **001** y después presionar el botón 'Llamar'.