Un 'hacktivista' expone información personal y de pago de más de 500.000 clientes de una aplicación 'stalkeware'

Entre la información expuesta tras la filtración digital aparecen pagos por servicios dirigidos al rastreo telefónico y el acceso no autorizado a cuentas privadas en redes sociales. Según reportó TechCrunch, un incidente protagonizado por un individuo que utiliza el alias Wikkid ha dejado al descubierto los datos personales y de pago de más de 500.000 personas que contrataron programas 'stalkeware', permitiendo identificar tanto a quienes pagaron estos servicios de vigilancia en dispositivos móviles como las cantidades abonadas, los métodos de pago utilizados y las aplicaciones contratadas.

De acuerdo con TechCrunch, el hacktivista accedió a los datos de los usuarios de un 'stalkeware' valiéndose de una vulnerabilidad descrita por él mismo como "trivial" en la página web de la compañía, lo que permitió obtener y posteriormente difundir en foros frecuentados por la comunidad 'hacker' registros confidenciales que detallan el uso de softwares de espionaje. La selección de información publicada contiene cerca de 536.000 direcciones de correo electrónico relacionadas con estos programas, junto a la denominación de la aplicación, el importe abonado, el tipo de tarjeta utilizado para el pago y los últimos cuatro dígitos de las tarjetas. No aparecen, sin embargo, las fechas exactas de los movimientos realizados.

TechCrunch precisó que las transacciones aparecidas en la filtración corresponden principalmente a servicios como Geofinder y uMobix, diseñados para rastreo y monitorización de teléfonos, y Peekviewer, una herramienta que permite acceder a cuentas privadas de Instagram. Todas estas soluciones tecnológicas son ofrecidas por Struktura, una compañía de origen ucraniano dedicada al desarrollo de programas de este tipo. Adicionalmente, entre los datos desvelados se identifican registros de pagos asociados a Xnspy, un producto previamente vinculado con actividades de espionaje en terminales telefónicos.

Los 'stalkeware' constituyen una serie de aplicaciones clasificadas como herramientas maliciosas orientadas a la vigilancia de dispositivos. Estos programas suelen instalarse en teléfonos inteligentes, computadoras o tabletas sin el conocimiento del propietario y facilitan el acceso remoto tanto a mensajes, fotografías y videos como a su localización en tiempo real, registro de llamadas, historial de navegación y, en ocasiones, permiten ejecutar funciones de registro de teclas para capturar contraseñas. Aunque habitualmente estos sistemas se publicitan como soluciones de control parental, TechCrunch remarcó que su uso sin consentimiento representa una violación legal y puede emplearse para realizar actividades de espionaje ilícito.

La información consignada por TechCrunch indica que, pese a que la imagen pública de estos servicios está asociada principalmente a Struktura, en los foros especializados donde se compartió el conjunto de datos sensibles, el responsable directo del software de vigilancia figura bajo el nombre de Ersten Group, una emergente firma de origen británico dedicada al desarrollo de este tipo de programas. El medio mencionó que las vinculaciones empresariales entre Struktura y Ersten Group aparecen en el contexto de la comercialización y provisión de soluciones tecnológicas orientadas a la monitorización masiva con efectos diversos sobre la privacidad de los usuarios.

La brecha pone de manifiesto tanto la magnitud de la clientela de los servicios 'stalkeware' como los riesgos asociados a la divulgación pública de registros que no solo permiten identificar a los interesados en estos servicios, sino también vincular sus identidades con métodos y operaciones de pago, y las herramientas elegidas para realizar tareas de vigilancia remota. Ante lo ocurrido, el hacktivista identificado como Wikkid ha declarado a TechCrunch que su motivación consistió en exponer a quienes, según él, emplean recursos tecnológicos con fines de espionaje personal, favorecidos por la opacidad y la publicidad del sector.