Datos privados de más de 62.000 usuarios de Catwatchful, una aplicación supuestamente destinada al control parental, quedaron expuestos tras una filtración que comprometió sus contraseñas y correos electrónicos.
Una vulnerabilidad permitió el acceso no autorizado a la base de datos completa de lo que resultó ser un software de espionaje enmascarado como una herramienta de monitoreo infantil.
Una brecha que revela el alcance del espionaje
La filtración, detectada por el investigador en seguridad Eric Daigle, dejó al descubierto información que permitía rastrear no solo a quienes utilizaban la app para espiar a otros —supuestamente menores bajo su tutela— sino también a las personas cuyos dispositivos resultaron intervenidos. Los registros indican que alrededor de 26.000 teléfonos fueron víctimas de seguimiento, sobre todo en México, Colombia, India, Perú, Argentina, Ecuador y Bolivia.
Catwatchful llegó a almacenar fotografías, mensajes, ubicaciones en tiempo real y archivos de audio capturados mediante el micrófono de los dispositivos intervenidos, además de habilitar el acceso remoto a las cámaras, informó TechCrunch. El modo de funcionamiento exigía la instalación directa en los teléfonos a vigilar, un requisito que ha hecho que este tipo de aplicaciones sean conocidas también como stalkerware.
Las credenciales de 62.000 usuarios al descubierto
La base de datos filtrada contenía tanto las direcciones de correo como las contraseñas de quienes abonaban por el servicio. El error de seguridad se localizó en la API personalizada de la aplicación, que no implementaba mecanismos de autenticación y permitía a cualquier usuario consultar la información almacenada tan solo con acceder por internet. La exposición afectó a registros acumulados desde 2018.
De acuerdo con el análisis de Daigle, Catwatchful utilizaba Firebase, plataforma de desarrollo de Google, para alojar datos sensibles extraídos de los dispositivos. El problema de seguridad fue reportado y llevó al bloqueo temporal de la cuenta del desarrollador, aunque la operación regresó en línea después mediante el alojamiento en HostGator. Una portavoz de HostGator no ofreció declaraciones sobre el caso.
Custodia de información en servidores de Google
Al confirmarse el uso de Firebase para el almacenamiento de los datos robados, se notificó a Google, que reaccionó implementando actualizaciones en Google Play Protect, la función de seguridad interna de Android que detecta aplicaciones maliciosas. Desde ese momento, los usuarios reciben advertencias si el sistema encuentra la presencia de Catwatchful o de su instalador. Google declaró estar evaluando si las actividades de la aplicación infringían sus políticas, posición que se mantiene al no haber suspendido hasta el momento el almacenamiento en Firebase.
“Todas las aplicaciones que hacen uso de Firebase deben respetar nuestros términos de servicio y nuestras políticas. Estamos investigando este caso concreto, y si identificamos alguna infracción, se tomarán medidas apropiadas. Los usuarios de Android que intenten instalar estas aplicaciones cuentan con la protección de Google Play Protect”, indicó Ed Fernandez, portavoz de Google.
Identidad del responsable expuesta tras error operativo
Una equivocación en las primeras entradas de la base de datos reveló la identidad del desarrollador detrás de Catwatchful. Omar Soca Charcov, con sede en Uruguay, quedó vinculado directamente debido a que aparecía como el primer registro en el conjunto filtrado. Los datos incluían su nombre, número telefónico y la dirección web del servidor específico de Firebase utilizado por el spyware.
En tanto, la dirección de correo electrónico personal de Charcov, hallada en el conjunto de datos, coincidía con la publicada en su perfil de LinkedIn y figuraba como dirección de recuperación de la cuenta de administración de Catwatchful.
Según TechCrunch, Charcov recibió solicitudes de comentario en inglés y español, sin que hasta el momento se haya pronunciado sobre la filtración o sobre la potencial notificación a los usuarios afectados.
Últimas Noticias
Meta queda en evidencia: su propio consejo advierte fallos en la detección de deepfakes en conflictos
El Oversight Board recomendó que la compañía debe mejorar la manera en que muestra el contenido generado por IA y ofrecer información detallada sobre el origen de ese material
WhatsApp permitirá a los padres administrar las cuentas de sus hijos menores de 13 años
Los padres recibirán notificaciones sobre cambios clave en la cuenta del menor y podrán aprobar solicitudes de grupo
Tu teléfono no enciende y la pantalla queda negra: así puedes intentar recuperarlo rápidamente
Expertos recomiendan revisar primero el cargador, el cable y el puerto de carga
Pokémon Pokopia ya está disponible en Nintendo Switch 2: así puedes participar en su primer evento
Los jugadores podrán reconstruir un vecindario junto a Pokémon mientras participan en el evento “Más semillas para Hoppip”
Así luce hoy la colina del fondo de pantalla de Windows XP: el paisaje real ha cambiado por completo
El famoso paisaje, fotografiado por Charles O’Rear en 1996, fue inmortalizado en millones de pantallas y hoy apenas se reconoce tras décadas de cambios
