Piense por un momento alguno de estos escenarios:
- Una empresa, quizás de logística y transporte (no vamos a pensar retorcidamente…), en la cual al jefe o responsable le interesa saber dónde están en cada momento sus trabajadores.
- Unos padres, ante la perspectiva de ese hijo recién adolescente, que empieza a salir con sus amigos.
- La pareja celosa o desconfiada, que teme estar perdiendo a su cónyuge (no por su culpa, de hecho, sino por la de este).
En cualquiera de estos casos, la tecnología puede hacer acto de presencia. Todos llevamos un smartphone en nuestros bolsillos. ¡Diablos!, nos acompaña a todos los sitios, incluso al baño. Duerme normalmente con nosotros, en la mesita de noche. Es el centro de comunicaciones de prácticamente toda la sociedad del primer mundo.
Y por él pasa mucha, muchísima información.
No es raro por tanto que se junte el hambre con las ganas de comer, y surjan proyectos como XNSPY, un software espía para Android (ES) y iPhone (ES) que democratiza, hasta el extremo, las aspiraciones de control absoluto de cualquier individuo o grupo de ellos.
Accesible para cualquier persona, indistintamente de sus conocimientos técnicos
Y es que estamos ante una herramienta que ejemplifica a la perfección el nivel de abstracción a la que la informática nos ha llevado.
Los pasos para empezar a usar XNSPY son tan sencillos que cualquiera puede llegar a instalarlo en nuestro dispositivo.
Simplemente necesita tenerlo en mano alrededor de 30 segundos, o como en el primer caso arriba mencionado, tener acceso al sistema de MDM que controla las aplicaciones instaladas en los dispositivos de la compañía para realizar este paso automáticamente en todos los trabajadores.
Entrar en una URL específica, aceptar la descarga de un archivo marcado como potencialmente peligroso, darle todos los permisos que pide (prácticamente todos los permisos que existen), aceptar que además de eso pueda ejecutarse al inicio del sistema, y de paso ocultar el icono de la aplicación, no vaya a ser que la víctima se acabe por dar cuenta.
A partir de entonces, ese terminal estará siendo monitorizado 24/7. Incluso podría formar parte de una botnet (la herramienta permite controlar varios terminales a la vez) al escrutinio permanente de nuestros intereses.
¿Qué permite hace XNSPY?
Prácticamente todo lo que el espía de turno querría conocer de la víctima.
La herramienta cuenta con un dasboard correctamente diseñado y muy sencillo de usar, en varios idiomas (aunque las traducciones no van muy allá), responsivo y hasta con aplicaciones para Android e iOS, con un menú lateral con las siguientes opciones:
- Registro de llamadas y SMS: Con quién y cuánto tiempo ha hablado, o qué mensajes se han enviado. En opciones podríamos activar alertas para que nos avisara cuándo un teléfono específico se pone en contacto con el “sujeto”, y todo ello es exportable a CSV, para su tratamiento masificado posterior.
- Acceso al calendario, al historial de navegación y los contactos: Es de lo primero que se descarga una vez se ha hecho el paring. Todo lo que la víctima tiene en el dispositivo se vuelca en la nube de XNSPY.
- Emails y mensajería instantánea: Un must para el espía amateur. Los logs de WhatsApp, Line, Facebook, Skype, Viber, Kik (¿?), así como los emails recibidos, son cómodamente navegables desde la interfaz de la herramienta.
- Localización: Otro aspecto necesario, que cuenta con su propia sección, y con un historial de viajes pasados.
- Contenido audiovisual: Tanto el que la propia víctima tenga/realice, como el que nosotros forzemos a realizar. Tendremos acceso a cualquier foto, vídeo o audio que el sujeto tenga en la galería (aunque luego lo haya borrado), y podremos activar el micrófono o la cámara en cualquier momento para ver qué ocurre. Además, por defecto el sistema guarda las conversaciones que se realicen en las llamadas, descargándolas al sistema instantes después.
- Control remoto: Podremos en esta sección realizar algunas acciones push en el sistema, como la grabación anteriormente comentada, e incluso el bloqueo o wipe del terminal.
Entre nosotros y el control absoluto solo hay un obstáculo. Los permisos ROOT. Si el terminal no está rooteado/jailbreakeado, el sistema no podrá exprimir al máximo la monitorización.
Dependeremos por tanto de la activación del GPS por parte del usuario para localizarlo, y solo tendremos acceso a los emails si este utiliza la aplicación de correo por defecto. Tampoco tendremos acceso a los registros del WhatsApp (¡Cáspita!). Todo lo demás estará disponible (si no se me ha pasado nada).
Una herramienta de OSINT que pone los pelos de punta
Es cuando, después de una semana instalada en mi propio terminal, te das cuenta del enorme potencial que tiene para realizar espionajes específicos. Para campañas de spear phishing, y no únicamente con los objetivos para los que a priori ha sido diseñada.
Incluso en terminales NO ROOT, el volcado de SMS de la víctima me permite por ejemplo obtener acceso a todos esos servicios digitales protegidos con doble factor de autenticación.
En mi caso, incluso conocer los movimientos bancarios (tengo una alerta vía SMS con cada compra/recibo que me llega a la cuenta), o los planes de viajes, bien sea por el calendario, o por el SMS que habitualmente nos envían con el número de localización (tren y autobús, principalmente).
Sobra decir que el que automáticamente se guarden todas las conversaciones que haga la víctima es terriblemente valioso en una campaña de este tipo. Podríamos hacernos pasar por un tercero, y retomar una conversación que sin duda solo deberían saber estas dos personas para dirigirle a un fraude específico. U obtener información que únicamente la víctima daría a un contacto que entiende como conocido.
La herramienta también ofrece gráficas de uso, que están ineludiblemente asociadas a su rutina diaria. Pudiendo localizarle en cualquier momento, y en qué WIFIs se está conectando, podemos saber dónde vive, dónde trabaja o qué lugares frecuenta habitualmente.
El hecho de que toda la información sea exportable a un CSV nos permitirá explotarla más cómodamente, y realizar inteligencia pseudo-automática sobre los datos obtenidos, que quizás nos arroje más información crítica: relaciones de tercer grado, acceso a posibles futuros objetivos,…
Y todo esto por apenas 8-13 dólares al mes (según la versión contratada).
La democratización del espionaje accesible por el grueso de la sociedad. Sin conocimientos técnicos previos, sin necesidad de contratar a un equipo de hackers profesionales, sin desembolsos económicos exagerados.
Piense la próxima vez a quién ha dejado su terminal. Valore si de verdad necesita tener ROOT o JailBreak para el uso que le da a ese dispositivo que le acompaña día tras día. Porque a algo así estamos expuestos absolutamente todos.
________
Realizar este tipo de artículos me lleva varias horas, y en algunos casos, gastos extra que habitualmente suplo de mi bolsillo, o gracias a esa comunidad de patronos que me apoyan realizando donaciones puntuales o periódicas.
Si le gustaría ver más de estos tutoriales y análisis por aquí. Si el contenido que realizo le sirve en su día a día, piense si merece la pena invitarme a lo que vale un café, aunque sea digitalmente.
Un solo comentario: Terrorifico
Y tanto Pau, y tanto…
Estas cosas no dejan de ser terroríficas dependiendo de su empleo. Creo recordar que existen otras herramientas (mspy?) que realizan esas funciones y el fin “positivo” de su desarrollo consistía en salvaguardar un teléfono que cuesta mucho dinero de posibles ladrones que serían localizados y hasta espiados gracias a estas herramientas. Por no decir, los teléfonos de empresa que siempre están con la polémica, de si el jefe que paga su uso, debe conocer si realmente se utiliza para el trabajo o se utiliza para otros menesteres que reducen la productividad. Bienvenidos a la locura del futuro. Saludos.
Sí, mismamente por Facebook me comentaban ahora mismo que las funciones de esta herramienta se parecían mucho a las que ofrece Cerberus. Y es verdad, pero el objetivo es diametralmente opuesto.
Mientras que en Cerberus puedes administrar en remoto hasta 5 terminales, no intenta ocultar que está funcionando. XNSPY sí (oculta hasta el icono de la aplicación del gestor de aplicaciones), y por defecto permite guardar contenido audiovisual (llamadas de voz, screenshots, fotos y vídeo sacado con la cámara) que no almacena en la memoria del terminal, sino en la nube de XNSPY.
Sobre sistemas anti-theft (que es lo que tú comentas, Javi), un servidor hasta no hace mucho usaba Prey, que hace precisamente lo que comentas. Intentar que en caso de extravío o robo, tengas algunas medidas para recuperarlo, o a una mala, evitar que un tercero se lo pueda “agenciar”. Escribí hace eones una mini-review de la herramienta por estos lares.
Ando medio dormido (de noche) y no me aclaro, lo que me quieres decir Pablo :).
Pero me asalta la duda lo que recalcas con “ocultar”. No sale su icono en la gestión de aplicaciones activas, ni en todas las aplicaciones, ni en mis aplicaciones de google play con Android, cómo la eliminas entonces? 🙂
Los tres puntitos en “todas las aplicaciones” tienes opciones para ocultar/mostrar las aplicaciones que se desea (al menos en el mío :)) y es fácil ocultar cualquier aplicación.
En Android es fácil restaurar a fábrica si se sospecha de ese espionaje por parte de la empresa, aunque estaría bien estudiar la legalidad de tus jefes en espiarte fuera de tu horario de trabajo, porque no creo que te digan que lo apagues cuando no estes trabajando.
Saludos
La aplicación se ofusca como un proceso del sistema (con su mismo logo y todo), y no aparece en las aplicaciones instaladas. Claro está, seguramente salga en todos los procesos abiertos y en las aplicaciones del sistema, pero ponte tú a buscarla, más cuando tiene el nombre de un proceso más jajaja.
¿Eso lo puedes hacer en tu Android? ¿Tienes una versión customizada, o qué ROM utilizas? Por ejemplo en mi caso, que tengo ahora un Meizu, tengo gestión de permisos integrada en el sistema, pero precisamente ocultar una aplicación no me deja (puedo quitarle uno a uno cada permisos, pero no ocultarla).
Y sobre el tema legal ya lo comenté por Google+. Bajo mi punto de vista, esto directamente en la legislación Europea entiendo que puede ser ilegal. Ilegal para el que la use, no para el que lo ha diseñado.
En el trabajo entiendo que podría usarse según en qué ámbitos (por ejemplo, se me ocurre que quizás sea interesante para una empresa de logística o transporte de mercancías), pero estoy seguro que el trabajador podría exigir que esa monitorización no ocurriera al menos fuera del horario de trabajo.
Igualmente, hay maneras más éticas de monitorizar el rendimiento de los trabajadores, qué quieres que te diga. No me veo en un escenario en el que vaya a recomendarlo a alguno de mis clientes :).
creo que es muy util para uso propio, por ejemplo, si te lo roban.
el detalle es que, si formatean o restauran el dispositivo se perderia la aplicacion?
Saludos y muy buen aporte!
Sí Jona. Para que no se perdiera, tendría que venir dentro de la propia ROM, y no ser una aplicación instalable.
En todo caso, ten en cuenta que tanto las nuevas versiones de Android como de iOS ya no permiten restaurar el dispositivo a no ser que se conozca la contraseña.
Y si lo que necesitas es un software anti-robo, lo mejor es usar herramientas como Prey, que comentábamos por arriba, y que están diseñadas precisamente para eso.
Saludos!
Sin duda un gran peligro pero los novatos perderán el interés Cuando vean que para poder acceder a WhatsApp necesitan hacer root que muchos casos no tienen conocimiento.
Yo soy del tipo de usuario que no puede vivir sin su root, pero siempre se lo que descargó y de donde lo descargó casi siempre lo hago desde la tienda. y cómo no savemos después que esta empresa puede ser hackeada o vender nuestros datos para sacarle ses aún más ganancias.
Por supuesto Jared. Son datos que almacenan en sus servidores, y que podrían estar expuestos a terceros. Aquí solo eres un mero usuario de una herramienta, no tienes más control que el control que ellos te ceden.
La democratización de la ciber-delicuencia va a causar que más de un insensato termine en Chirona.
jajaja, pues probable es Andrés. No te queda la menor duda… :).
Hola Pablo. espero te encuentres bien, es un agrado poder cotillear algunos de los temas que son muy interesantes.
en especial el de software xnspy, el cual me parece muy pero muy peligroso no es de extrañar que las empresas por su naturaleza busquen tener mas control de sus empleados y que a la ves en los grupos familiares existan ventajas en el control para los hijos, pero esto mas que una ventaja es una perdida mas que un avance es un retroceso la base de los avances tecnológicos debe de estar fundamentado en la optimización y fomentar el desarrollo de las capacidades intrínsecas de las personas. en mi opinión la utilización de los medios para el control solo llevan a la manipulación y esta asu vez no propicia condiciones humanas de desarrollo cualesquiera que fuese los ámbitos laboral y familiar.
por último me despido de ti pablo deseando salud y muchos exitos en tu vida
atentamente . Marcel portillo.
Buenas Marcel, estoy totalmente de acuerdo. La tecnología es un medio para conseguir un fin, y quiero pensar que la propia presión social acabe poniendo herramientas como estas en su justo lugar.
Y pásate por aquí a cotillear todo lo que quieras, que sabes que me encanta :).
Saludos!
Este tipo de software existe desde hace bastante tiempo, pero estaba más para el lado de “antirobo” tipo Cerberus, yo recuerdo el Prey y AndroidLost (una bestia parda) que andaba bien y la versión free era suficiente. Como software antirobo no se si funcionarían alguna vez, pero en monitorización, a tope. Se han dado casos de denuncias por este tipo de “monitorizaciones”, desde el punto de vista de la privacidad, empresas que querían “monitorizar” su dispositivo y registraban datos del usuario, incluso en su tiempo libre. Y nada que decír de la posibilidad de registrar el audio, tomar fotos, etc.
Muy buen blog, continua ahí.
Cuenta con ello Roberto. Muchas gracias por el apoyo y por la reflexión.
Hola buenas tardes me podria dar el costo del servicio y si se puede aplicar el servicio solo dando el numero de cel
Salvador, en el artículo tienes los enlaces a su aplicación Android e iOS, así como su precio (es de pago mensual, entre 8 y 13 dólares según la versión).
Y no, necesitas tener acceso físico al dispositivo, o que la víctima lo instale por su cuenta. También te recuerdo que para según qué lo quieras utilizar, puede ser ilegal.
Hola donde lo puedo descargar y que precio tiene en España? Muchas gracias
Buenas Dani. Acabo de ver tu otro email.
Lo comento en el propio texto. No es una aplicación que descargues. Es decir, quien la tendría que descargar es el dispositivo a ser “espiado”. Supongo que en la página de XNSPY dirán el precio mensual que tiene su servicio…
Hola si quiero rastrear un WhatsApp pero no tengo acceso a su móvil no solo el WhatsApp todo
Sin acceso no es posible Mirela…
No tengo tarjeta de crédito o débito alguna otra forma de pago
No soy el dueño de este servicio Felipe. No puedo ayudarte con esto…
Esta aplicación es una auténtica estafa. Llevo con ella unos 3 meses y funcionan unas pocas cosas de lo que dicen ofrecer. Para que funcione todo necesitas tener una versión igual o inferior a android 6 pero esto te lo dicen después de comprarla. Nadie tiene esa versión tan antigua en un teléfono. Al cabo de un tiempo las pocas funciones que tienes van desapareciendo y si te pones en contacto con ellos no te dan ninguna solución. EN DEFINITIVA ES UNA ESTAFA.
Este artículo tiene varios años. Y no me extraña. A fin de cuentas estás tratando con gente que se dedica a ofrecer un servicio que es ilegal en muchos países.
Si contratas a un estafador…