spyware stalkeware spouseware

Patricia, una alumna del Máster de COPE, me escribió ya hace unos cuantos meses para pedirme si la podía ayudar en la elaboración de su Trabajo Fin de Máster, al estar este basado en la ciberseguridad.

Compartimos algunos cuantos audios por WhatsApp y acabé por enviarle varios artículos que creía le podían servir para documentar el trabajo.

Con lo del coronavirus la cosa quedó en standby, hasta que más adelante se volvió a poner en contacto conmigo para informarme que al final había tirado por un monotemático sobre el stalkerware/spyware, y si le podía responder a una serie de preguntas.

Estas fueron mis respuestas:

¿Crees que la tecnología ha podido fomentar de alguna manera el intrusismo entre parejas, padres e hijos…?

La tecnología no es buena ni mala Patricia, es solo una herramienta para conseguir un fin específico. Ese intrusismo ha estado ahí desde siempre. Lo único que ha cambiado son los medios para hacerlo.

Pero el problema, de base, es humano, no tecnológico.

¿Qué diferencia hay entre un spyware y un stalkerware?

Realmente a nivel puramente de software estamos ante el mismo producto. La diferencia, en todo caso, se da por sus objetivos:

  • Por Spyware, o programa espía, entendemos una herramienta que nos permite monitorizar en remoto las actividades de otra personas sin el consentimiento y notificación explícita de la misma.
  • Por Stalkerware entendemos un tipo de spyware enfocado a seguir los pasos (actividades, rutinas, etc…) de una persona en particular, siendo quizás el más conocido el Spouseware, que es como se definen esos spyware que instalan parejas que desconfían de sus cónyugues, o las herramientas de control parental, que es una manera bonita de definir un spyware que instalamos en los dispositivos de nuestros hijos.

¿Qué tipos de spyware hay? ¿Cómo funcionan cada uno de ellos?

Me he adelantado en la pregunta anterior :P.

La gente cada vez está más interesada y preocupada por la Ciberseguridad, pero ¿crees que están suficientemente concienciados y formados para saber qué es lo que no hay que hacer?

Claramente no. El mito de que los millenials o la generación Z, por el simple hecho de haber nacido con un ordenador debajo del brazo, somos conocedores de su funcionamiento, es solo eso, un mito.

La realidad es que la amplia mayoría de usuarios, sean de la generación que sean, utilizan las herramientas digitales sin preocuparse por entender su funcionamiento, y por tanto, corriendo continuamente riesgos.

Algo que, por otro lado, tampoco puedo reprocharles. El trabajo de los que nos dedicamos a la tecnología es precisamente velar porque ésta vaya poco a poco democratizándose, e igual que hoy en día tú abres el grifo de la cocina y «mágicamente» sale agua sin que por ello estés corriendo riesgo alguno, que pase lo mismo con las tripas de Internet.

Dos de los ataques líder en el 2019 fueron los spyware y los AdWare… ¿Cómo funcionan?

  • El Spyware lo que hace es conseguir el máximo control posible del dispositivo, de manera que a cualquier acción del usuario (activa o pasiva), deje un registro. Esto supone que, por ejemplo, mantiene localizado el dispositivo en todo momento, saca fotos con la cámara delantera cada X segundos, envía pantallazos de nuestras conversaciones en WhatsApp o Facebook, y por supuesto vuelca toda la galería de fotos, contactos y SMS al centro de control del stalker.
  • El AdWare es otro tipo de malware que lo que busca es monetizar este ataque mostrándote publicidad cuando estés utilizando el dispositivo comprometido, y/o generando clics falsos en publicidad cuando lo tienes inactivo.

Es decir, no tienen el mismo objetivo. El primero espía, el segundo te llena el dispositivo de publicidad para sacar rédito económico con los clics que se harán desde él.

¿Qué técnicas utiliza el spyware para infectar el móvil de la víctima?

Las mismas que cualquier otro malware. A saber:

  • Vulnerabilidades: Que, básicamente, se trata de aprovechar problemas de seguridad que tenga el dispositivo de la víctima para poder instalar el spyware.
  • Engaños: Es decir, campañas de phishing por los que la víctima, sin ser consciente de lo que hace, instala ese spyware en su dispositivo.
  • Instalación directa: En caso de que el ataque venga dado por un familiar o conocido, lo más fácil es que este mismo, en un descuido, instale directamente en el dispositivo de la víctima el spyware.

¿Es posible instalar los spyware a distancia?

Por supuesto. En los dos primeros casos comentados anteriormente el ataque se podría realizar en remoto.

¿Qué es lo que busca quien instala este tipo de programas?

Información: Hábitos, rutinas, agenda de contactos, fotos, conversaciones privadas…

Bien sea para luego extorsionar a la víctima (tengo fotos o conversaciones sensibles tuyas, y si no me pagas me encargaré de que esto le llegue a todos tus conocidos), bien sea, como decíamos, por desconfianza, celos o pretensión de control de un familiar o conocido (quiero saber donde estás en todo momento y con quién hablas).

Supongo que tendréis un perfil de los ciberdelincuentes, pero ¿tenéis un perfil de quien instala estos programas de espionaje?

Hay dos perfiles típicos:

  • El cibercriminal que utiliza este tipo de herramientas como modelo de negocio (infectas mientras más dispositivos mejor, obtienes la información de algunas de esas víctimas y las extorsionas, o como el hackeo que sufrió Jezz Bezos este año, que tenía un fin de espionaje industrial/político).
  • El familiar o «amigo» que quiere tener vigilada a una persona en particular (su pareja, su hijo, la persona que le gusta…).

¿Qué debilidades pueden hacer de un móvil susceptible de infectarse con spyware?

La principal es no tenerlo actualizado.

Y aquí entramos en un problema, porque aún hoy en día la política de actualizaciones de los smartphones Android, al depender también del roadmap de los fabricantes, es demasiado laxa.

Lo que hace que en la práctica se oiga mucho eso de que es más seguro un iPhone que un Android.

Google (dueños de Android) y Apple (dueños de iOS/iPadOS, el SO de los iPhones/iPads) sacan parches de seguridad todos los meses. La diferencia es que en prácticamente todos los iPhones/iPads (los de los últimos años al menos) vas a poder instalarlo sí o sí el mismo día que sale, y en un Android, aunque sea un modelo actual, dependes de que el fabricante lo libere, lo que puede llegar a tardar días, semanas, meses o incluso jamás llegar (terminales antiguos).

¿Es posible descargarse e instalar un spyware a través de un correo phishing?

Sí, por supuesto.

Es más fácil, eso sí, desde un sistema operativo de escritorio, ya que por defecto los sistemas operativos móviles tienen un control para evitar que el usuario descargue apks de fuentes externas o desconocidas (fuera del market oficial de cada sistema operativo).

Pero vaya, que en Android por ejemplo es tan sencillo como aceptar que quieres instalarlo igualmente. En iOS es cierto que requiere un proceso más complejo.

¿Cómo se puede saber si nuestro dispositivo está infectado con un programa de este tipo?

En el caso de los spyware, una vez instalados, no es tan fácil saber identificarlos.

Algunos generan un icono nuevo de aplicación por algún lado, pero esto recalco que no ocurre con todos.

Quizás el mejor identificador es ver que, de pronto, la batería dura bastante menos, o que el rendimiento del dispositivo ha empeorado sensiblemente. Y revisando el gasto de batería en los ajustes o bien nos salga una aplicación rara, o bien no nos cuadren los resultados.

¿Cómo podemos evitar la infección con spyware?

De tres maneras principalmente:

  • Apostando por dispositivos que sí reciben actualizaciones de seguridad periódicas, e instalándolas: Como ya dije, los iPhones/iPads son algunos de ellos, y también tenemos los Pixel de Google o los Android One de diferentes fabricantes. También es verdad que Android se ha puesto las pilas con esto y probablemente este problema de fragmentación pase a mejor vida en los próximos años.
  • Utilizando el sentido común: Que ya sabemos que es el menos común de todos los sentidos. Y esto pasa por no instalar nada de fuera del market oficial, por no hacer clic en emails o MPs en redes sociales que te prometen acceder a contenido de pago gratis o te alertan de un problema gordísimo en tu cuenta bancaria… Por no caer en timos, vaya.
  • El móvil siempre con un sistema de desbloqueo activo: Uno basado en contraseña alfanumérica que solo sepas tú y/o con huella dactilar, recordando que nuestro smartphone es algo personal, y que si tu pareja es celosa, no haces más que aumentar el problema dejándola que espíe tus conversaciones.

Soy además de los que piensa que antes de espiar a nuestro hijo convendría más que este tuviera la confianza suficiente en nosotros como para contarnos cualquier duda que le atañe. Es decir, ayudarle en base a la educación y confianza, y no únicamente en la prohibición y el control.

¿Es necesario tener algún tipo de conocimiento en informática para su instalación?

No. Para nada.

De hecho la amplia mayoría de cibercriminales no tienen ni idea de tecnología. Utilizan herramientas que compran a otros cibercriminales y que funcionan a golpe de clic, con una interfaz visual y sencilla.

Lo que en el argot técnico denominados Malware As A Service, Crime As A Service, o por sus siblas MAAS y CAAS.

Analicé en su día alguna de estas herramientas en profundidad, por si le quieres echar un vistazo:

¿Denuncia sirve de algo?

Por supuesto. Faltaría más.

Siempre, siempre que ocurra algo por el estilo, hay que denunciarlo. Máxime si presumiblemente quien nos ha instalado este spyware es una persona cercana. Igual que con el maltrato, tolerancia cero con estos temas.

Otra cosa es que el proceso sea sencillo y al final demos con el agresor, sobre todo si éste se encuentra en otro país y tiene todo el negocio bien montado.

También te digo que como la mayoría de agresores no tienen ni idea de tecnología, a poco que las fuerzas del orden intervengan acaban dando con pruebas suficientes como para meterlos entre rejas.

Eso sí, todo depende de la legislación de cada país. En el caso por ejemplo de controles parentales para un menor, hay países que los permiten y otros que no, o bajo algunos supuestos específicos. Lo que está claro es que a una persona adulta sí o sí, y al menos en países democráticos, está prohibido, y por tanto es algo penado judicialmente.

Pero si no denunciamos, la policía no puede hacer nada. Ergo el problema seguirá ocurriendo, y se irá agravando con el paso del tiempo. Para ti, y para otras futuras víctimas.

________

Puedes ver más artículos de esta serie en #MundoHacker, donde tratamos en varios tutoriales las medidas para atacar y/o defenderse en el mundo digital.

Y si el contenido que realizo te sirve para estar actualizado en tu día a día, piensa si merece la pena invitarme a lo que vale un café, aunque sea digitalmente.