Una vulnerabilidad de seguridad en Catwatchful, una aplicación de software espía para Android que se disfraza de herramienta de monitoreo parental, ha dejado expuestos más de 62.000 correos electrónicos y contraseñas de clientes..
Así como información privada de aproximadamente 26,000 dispositivos infectados, incluyendo fotos, mensajes de texto y datos de ubicación en tiempo real.
Almacenamiento inseguro en Firebase
Catwatchful utiliza una arquitectura híbrida: las credenciales de los usuarios se almacenan en un servidor personalizado vulnerable, mientras que los datos robados de las víctimas se alojan en Firebase, la plataforma de servicios en la nube de Google.
Investigadores de TechCrunch instalaron el software en un entorno Android virtual y confirmaron que el tráfico de red apuntaba a una instancia específica de Firebase utilizada por Catwatchful.
Esto viola las políticas de uso de Firebase, que exigen que las aplicaciones respeten estándares de seguridad y confidencialidad. Aunque Google no ha eliminado aún la operación. Un portavoz declaró que estaban “investigando este problema”, sin ofrecer garantías de acciones concretas.
Este caso pone en evidencia un problema más generalizado: el uso indebido de plataformas en la nube por parte de aplicaciones maliciosas. Investigadores ya habían identificado cientos de implementaciones mal configuradas en Firebase, que dejaron al descubierto más de 125 millones de registros de usuarios.
Exposición del desarrollador: “Omar Soca Charcov”
La filtración también sacó a la luz la identidad del desarrollador de Catwatchful, que opera bajo el seudónimo “Omar Soca Charcov”.
El software se promociona principalmente a parejas celosas que buscan espiar en secreto a sus cónyuges o parejas sentimentales. Los investigadores vincularon esta identidad a través de credenciales expuestas conectadas a cuentas personales.
Este caso recuerda incidentes anteriores en la industria del stalkerware, como la filtración masiva de mSpy, que comprometió millones de registros desde 2014, incluyendo comunicaciones personales y tickets de soporte con información sensible.
En julio de 2024, la Oficina Legal de Omar O. Vargas fue víctima de un ataque similar por parte del grupo “Everest”, resultando en una filtración de 450 GB de datos confidenciales.
Estos casos ilustran cómo las herramientas de vigilancia, incluso si se comercializan con fines “legítimos”, suelen operar con prácticas de seguridad deficientes.
¿Cómo detectar Catwatchful en tu teléfono?
Catwatchful incluye una puerta trasera que puede ser aprovechada para detectar su presencia. Cualquier usuario de Android puede marcar el código “543210” desde la aplicación de teléfono y presionar “llamar”.
Esto activa una función oculta que revela si el dispositivo está comprometido.
Esta puerta trasera parece ser una función de desarrollo que nunca fue eliminada antes de lanzar la app, un descuido común en muchas herramientas de stalkerware.
Además de este código, los expertos en ciberseguridad recomiendan estar alerta ante señales como:
- Consumo anormal de batería
- Picos repentinos en el uso de datos
- Sobrecalentamiento del dispositivo o rendimiento lento
- Aplicaciones desconocidas con permisos sensibles
Para una revisión más profunda:
- Ve a Configuración → Aplicaciones y notificaciones → Ver todas las aplicaciones
- Revisa los permisos desde Configuración → Privacidad → Administrador de permisos, especialmente el acceso a cámara, micrófono, ubicación y almacenamiento.