El stalkerware consiste en aplicaciones móviles que extraen piezas de información provenientes del celular de la víctima: mensajes SMS, metadatos de llamadas telefónicas realizadas y recibidas, e información, correos electrónicos e incluso el historial de sitios web visitados desde el aparato. 

 

IDET logoLos celulares nos acompañan a todos lados y saben casi todo de nuestra vida: se enteran de las personas con quienes nos comunicamos, hacia donde caminamos y van dejando una estela de datos como las legendarias migas de pan que Hansel y Gretel usaban para regresar a casa. No extraña que desde gobiernos hasta individuos quieran usar esa información para rastrear los movimientos y actividades de personas en el mundo digital pero también en el universo real.

El llamado stalkerware apareció en el escenario de la seguridad digital hace media década de acuerdo con la empresa especializada en seguridad digital Malwarebytes. Este consiste en aplicaciones móviles que extraen piezas de información provenientes del celular de la víctima: mensajes SMS, metadatos (información sobre día y hora y números marcados) de llamadas telefónicas realizadas y recibidas, e información, correos electrónicos e incluso el historial de sitios web visitados desde el aparato. Otras piezas son más invasivas aún y pueden ordenar al dispositivo tomar fotografías y grabar audio sin que la víctima lo sepa. Toda esa información es almacenada y enviada a servidores externos para que la persona que instaló esta aplicación pueda acceder a los datos extraídos con solo entrar en una página web.

El problema de estas aplicaciones es que se mueven en una zona gris pues algunas se promocionan como herramientas para el monitoreo de menores de edad y evitar que sean sustraídos o acudan a lugares no autorizados. Esta oportunidad ha sido aprovechada por criminales para verificar la lealtad de familiares y cómplices y durante el juicio a Joaquín Guzmán las autoridades estadounidenses revelaron que este regaló a parejas y allegados teléfonos precargados con stalkerware que podía activar remotamente para conocer la ubicación e incluso escuchar sus conversaciones de manera inadvertida.

Desafortunadamente estas aplicaciones no se limitan al entorno criminal. Otro uso de estas aplicaciones está en el control individual por parte de familiares o parejas. Este año la organización Human Rights Watch denunció que el gobierno de un país de Medio Oriente desarrolló una aplicación que notifica a los “guardianes legales” (esposos o hermanos) de una mujer si ella solicita un pasaporte o está por emprender un viaje internacional.

México no es ajeno a este problema y somos uno de los diez países con más casos de stalkerware según la empresa Securelist. Algunas de las piezas de código malicioso más usados de acuerdo con el estudio son los denominados Monitor.AndroidOS.MobileTracker.a Monitor.AndroidOS.Cerberus. Dichas piezas viven dentro de aplicaciones móviles que se promocionan como sistemas para el seguimiento de dispositivos digitales, sin mencionar que tales dispositivos viven dentro de los bolsillos de personas de carne y hueso. Pero no todas son malas noticias pues evitar ser víctimas de este tipo de ataques es posible si se mantienen buenas prácticas en el uso del dispositivo móvil.

- Cuidado con las aplicaciones “protectoras”: Muchas de las aplicaciones de stalkerware se promocionan como herramientas para ubicar un dispositivo en caso de robo. Tanto Apple como Google, desarrolladores de los sistemas operativos móviles más populares tienen sus propios servicios de ubicación de dispositivos perdidos, por lo que no es necesario descargar aplicaciones adicionales. 

- Permisos de uso, clave para detectar acosadores: Al instalar por primera vez una app móvil, el sistema operativo suele informar sobre los servicios del dispositivo que la aplicación usará para funcionar. Tomar unos segundos para leer estas advertencias es clave pues el stalkerware pide acceso a sistemas como el módulo GPS, la cámara, el micrófono o el directorio telefónico. Una aplicación de recetas de cocina o una aplicación de notas personales que pida acceso a este tipo de servicios debe ser mirada con sospecha antes de instalarla. 

- Mi teléfono, solo en mis manos: La gran mayoría de las piezas de stalkerware necesitan acceso físico al celular. El bloqueo con una contraseña o la huella digital es un primer nivel de protección. El siguiente nivel es impedir que otras personas manipulen el celular bajo pretexto de “arreglarlo”, “actualizarle el sistema” o “ponerle juegos”. 

- Exigir la instalación de aplicaciones por familiares, amigos y pareja es una forma de violencia: El teléfono es parte del espacio individual y debe ser respetado. Si la pareja u otra persona exige la instalación de alguna app en el celular propio, está vulnerando los derechos de la persona a la privacidad y la protección de la intimidad, lo cual debe ser considerado una forma de violencia. 

- ¿Qué hago si tengo stalkerware en mi dispositivo? Es muy complicado detectar si una persona es víctima de este tipo de código malicioso. En el caso de Android, existe un servicio desarrollado por Google que permite saber si la cuenta vinculada con el celular está siendo accesada por dispositivos no reconocidos, un síntoma de que otros están accediendo a la información personal. De cualquier modo el restablecimiento de fábrica del dispositivo (algunos lo llaman “reseteo duro” o “borrado de fábrica”) borra por completo el sistema de almacenamiento del celular y lo reemplaza con el sistema operativo del dispositivo al momento de salir de la fábrica, lo cual elimina cualquier agente malicioso residente en el celular.