Según un equipo de informáticos de Nueva York y San Diego, las aplicaciones espía para teléfonos inteligentes no sólo son difíciles de detectar, sino que además filtran fácilmente la información personal y confidencial que recogen. Lo que pasa cuando tu teléfono te espía es algo muy común y muchas veces, difícil de detectar.
Esto pasa cuando infectan tu teléfono
Aunque públicamente se comercializan como herramientas para vigilar a los menores y a los empleados que utilizan los equipos de su empresa, los agresores también suelen utilizar aplicaciones espía para espiar de forma encubierta a su cónyuge o pareja.
Estas aplicaciones apenas requieren conocimientos técnicos, ofrecen instrucciones detalladas de instalación y sólo necesitan acceso temporal al dispositivo de la víctima. Una vez instaladas, graban de forma encubierta las actividades del dispositivo -incluidos SMS, correos electrónicos, fotos o llamadas – y permiten a los agresores revisar a distancia esta información a través de un portal web.
El spyware se ha convertido en un problema cada vez más grave. Los investigadores realizaron un análisis técnico en profundidad de catorce de las principales aplicaciones espía para teléfonos Android.
Aunque Google no permite la venta de este tipo de aplicaciones en su tienda de aplicaciones Google Play, los teléfonos Android suelen permitir que este tipo de aplicaciones invasivas se descarguen por separado a través de la web.
No ocurre lo mismo con dispositivos iOS, cuya filosofía de uso no permite este tipo de «acceso lateral», por lo que las aplicaciones de espionaje suelen ser mucho más limitadas y menos invasivas.
¿Qué son las aplicaciones espía?
Las aplicaciones espía se ejecutan subrepticiamente en un dispositivo, la mayoría de las veces sin que el propietario lo sepa. Recopilan información confidencial, como la ubicación, mensajes de texto y llamadas, así como audio y vídeo. Algunas aplicaciones pueden incluso transmitir audio y vídeo en directo. Toda esta información se entrega al agresor a través de un portal de programas espía en línea.
Las aplicaciones espía se comercializan directamente al público en general y son relativamente baratas. Son fáciles de instalar en un smartphone y no requieren conocimientos especializados para desplegarse o funcionar. Sin embargo, los usuarios necesitan tener acceso físico temporal al dispositivo de su objetivo y la capacidad de instalar aplicaciones que no estén en las tiendas de aplicaciones.
¿Cómo recopilan datos las aplicaciones espía?
Los investigadores descubrieron que las aplicaciones espía utilizan una amplia gama de técnicas para registrar datos. Por ejemplo, una aplicación utiliza un navegador invisible que puede transmitir vídeo en directo desde la cámara del dispositivo a un servidor de software espía.
Las aplicaciones también son capaces de grabar llamadas telefónicas a través del micrófono del dispositivo, a veces activando la función de altavoz con la esperanza de capturar también lo que dicen los interlocutores.
Varias aplicaciones también aprovechan las funciones de accesibilidad de los teléfonos inteligentes, diseñadas para leer lo que aparece en la pantalla para usuarios con problemas de visión. En Android, estas funciones permiten, por ejemplo, que los programas espía graben las pulsaciones de las teclas.
Los investigadores también descubrieron varios métodos que utilizan las aplicaciones para ocultarse en el dispositivo del objetivo.
Por ejemplo, las aplicaciones pueden especificar que no aparezcan en la barra de inicio cuando se abren por primera vez. Los iconos de las aplicaciones también se hacen pasar por «Wi-Fi» o «Servicio de Internet«.
Cuatro de las aplicaciones espía analizadas aceptan órdenes a través de mensajes SMS. Y dos de las aplicaciones analizadas por los investigadores no comprobaban si el mensaje de texto procedía de su cliente y ejecutaban los comandos de todos modos. E incluso, en los casos más extremos, una aplicación podía ejecutar un comando que borraba remotamente el teléfono de la víctima.
Lagunas en la seguridad de los datos
Los investigadores también estudiaron la seriedad con la que las aplicaciones espía protegían los datos confidenciales de los usuarios que recopilaban. La respuesta es: no demasiado.
Varias aplicaciones utilizan canales de comunicación no cifrados para transmitir los datos que recopilan, como fotos, mensajes de texto y localización. Sólo cuatro de las catorce estudiadas por los investigadores lo hacían. Esos datos también incluyen las credenciales de inicio de sesión de la persona que compró la aplicación. Toda esta información podría ser recogida fácilmente por otra persona a través de WiFi.
En la mayoría de las aplicaciones analizadas, los mismos datos se almacenan en URL públicas accesibles a cualquiera que tenga el enlace. Además, en algunos casos, los datos de los usuarios se almacenan en URL predecibles que permiten acceder a los datos de varias cuentas con sólo cambiar algunos caracteres.
En un caso, los investigadores identificaron un punto débil de autenticación en uno de los principales servicios de software espía que permitiría a cualquiera acceder a todos los datos de todas las cuentas.
Además, muchas de estas aplicaciones conservan datos confidenciales sin contrato con el cliente o después de que éste haya dejado de utilizarlas. Cuatro de las catorce aplicaciones estudiadas no eliminan los datos de los servidores de software espía, aunque el usuario haya borrado su cuenta o la licencia de la aplicación haya caducado.
Una app captura datos de la víctima durante un periodo de prueba gratuito, pero sólo los pone a disposición del agresor después de que éste haya pagado una suscripción. Y si el agresor no se suscribe, la aplicación conserva los datos de todos modos.
Cómo contrarrestar los programas espía
«Nuestra recomendación es que Android aplique requisitos más estrictos sobre qué aplicaciones pueden ocultar iconos», escriben los investigadores. «La mayoría de las aplicaciones que se ejecutan en teléfonos Android deberían estar obligadas a tener un icono que apareciera en la barra de inicio».
Los investigadores también descubrieron que muchas aplicaciones espía resistían los intentos de desinstalarlas. Algunas también se reiniciaban automáticamente tras ser detenidas por el sistema Android o después de reiniciar el dispositivo. «Recomendamos añadir un panel de control para supervisar las apps que se reinician automáticamente».
Para contrarrestar el spyware, los dispositivos Android utilizan varios métodos, entre ellos un indicador visible para el usuario que no se puede descartar mientras una aplicación está utilizando el micrófono o la cámara. Pero estos métodos pueden fallar por varias razones. Por ejemplo, los usos legítimos del dispositivo también pueden activar el indicador del micrófono o la cámara.
«En su lugar, recomendamos que todas las acciones para acceder a datos sensibles se añadan al panel de privacidad y que se notifique periódicamente a los usuarios la existencia de apps con un número excesivo de permisos».
Divulgación, salvaguardias y próximos pasos
Los investigadores comunicaron todos sus hallazgos a todos los proveedores de aplicaciones afectados. Hasta la fecha, nadie ha respondido. Para evitar que se abuse del código que han desarrollado, los investigadores sólo pondrán su trabajo a disposición de los usuarios que lo soliciten y puedan demostrar que le dan un uso legítimo.
Los futuros trabajos continuarán en la Universidad de Nueva York, en el grupo del profesor asociado Damon McCoy, antiguo alumno de doctorado de la UC San Diego. Al parecer, muchas aplicaciones espía se desarrollan en China y Brasil, por lo que es necesario seguir estudiando la cadena de suministro que permite su instalación fuera de estos países.
El trabajo fue financiado en parte por la National Science Foundation y contó con el apoyo operativo del UC San Diego Center for Networked Systems.