Un 'hacktivista' expone información personal y de pago de más de 500.000 clientes de una aplicación 'stalkeware'

Un 'hacktivista' ha robado y expuesto alrededor de medio millón de direcciones de correo electrónico, así como registros de información de pago, pertenecientes a usuarios clientes de una aplicación de tipo 'stalkeware' para vigilancia en 'smartphones', dejando ver quién ha pagado por espiar a otras personas.

Los 'softwares' espía o 'stalkewares' son una herramienta maliciosa que se vende como servicio y que se instala en los 'smartphones', ordenadores o tabletas, de forma discreta, con el objetivo de vigilar a la persona propietaria del dispositivo.

Así, es común instalar el 'stalkeware' sin que el dueño del dispositivo lo sepa y, con ello, acceder a sus mensajes y conversaciones, fotografías y vídeos, la ubicación en tiempo real, las llamadas, el historial de navegación o, incluso, llevar a cabo un registro de teclas para robar contraseñas.

A pesar de que habitualmente este tipo de servicios se promocionan como una herramienta de control parental, instalar este tipo de 'softwares' sin consentimiento es ilegal, ya que se pueden utilizar para el espionaje.

En este sentido, frente a su uso malicioso, un 'hacktivista' que se hace llamar Wikkid ha robado información sensible de algunos usuarios clientes de un 'stalkeware' y, posteriormente, la ha publicado a través de foros de 'hackers' para exponerles por espiar a otras personas.

El 'hacktivista' ha compartido aproximadamente 536.000 líneas de correos electrónicos de dichos clientes, así como la aplicación o servicio que han contratado, el importe pagado, el tipo de tarjeta de pago y los últimos cuatro dígitos de dichas tarjetas, como ha podido conocer TechCrunch. No obstante, no se han incluido las fechas de pago.

Concretamente, las transacciones publicadas contienen registros de pagos por servicios de rastreo telefónico, con referencia a Geofinder y uMobix, así como por servicios para acceder a cuentas privadas de Instagram, a través de Peekviewer, entre otras aplicaciones de monitoreo y rastreo, todas ellas proporcionadas por una compañía ucraniana llamada Struktura.

Por otra parte, también se han hallado registros de pago para la aplicación Xnspy, conocida anteriormente por utilizarse para espionaje telefónico, como ha compartido el medio citado, quien ha comprobado la veracidad de estos datos y ha recogido declaraciones de Wikkid, quien ha detallado que para extraer los datos de los clientes del 'stalkeware' aprovechó un fallo "trivial" del sitio web en cuestión.

Asimismo, se ha de tener en cuenta que a pesar de que el 'stalkeware' ofrece servicios que hacen referencia a la compañía proveedora Struktura, según el foro de piratería en el que se ha publicado esta información, se identifica al proveedor del 'software' de vigilancia como Ersten Group, una empresa emergente de desarrollo de 'software' de Reino Unido.