Google tardó un mes en desactivar Catwatchful, una operación de espionaje telefónico alojada en sus servidores.

Google ha tomado la decisión de suspender la cuenta de Catwatchful, un operador de vigilancia telefónica que estaba utilizando los servidores del gigante tecnológico para alojar y operar su software de monitoreo. Esta acción se produce un mes después de que una publicación del sector informara a Google sobre el uso de Firebase, una de sus plataformas de desarrollo, por parte de Catwatchful.

El operador se beneficiaba de Firebase para almacenar grandes cantidades de datos obtenidos de miles de teléfonos afectados por su software espía. Un portavoz de Google, Ed Fernandez, confirmó en un correo electrónico que la empresa había investigado las operaciones reportadas en Firebase y las había suspendido por incumplir sus términos de servicio. Sin embargo, Google no explicó por qué se tomó un mes para llevar a cabo la investigación y la suspensión de la cuenta.

Los términos de uso de Google prohíben explícitamente que sus clientes alojen software malicioso o operaciones de spyware en sus plataformas. A pesar de ser una empresa con fines de lucro y tener un interés comercial en mantener a sus clientes en sus servicios, Catwatchful ya no está en funcionamiento ni parece estar transmitiendo o recibiendo datos, según un análisis del tráfico de red realizado.

Catwatchful era un software espía específico para Android que se presentaba como una aplicación de monitoreo infantil "indetectable" para el usuario. Al igual que otras aplicaciones de este tipo, requería que los clientes la instalaran físicamente en el dispositivo de la persona monitoreada, lo que generalmente implica conocer su contraseña. Estas aplicaciones de monitoreo son frecuentemente calificadas como “stalkerware” debido a su uso para la vigilancia no consensuada de parejas, lo cual es ilegal.

Una vez instalada, la aplicación se escondía de la pantalla de inicio del dispositivo y subía información privada, como mensajes, fotos y datos de ubicación a un panel web accesible por la persona que había instalado el software. El primer aviso sobre Catwatchful llegó a mediados de junio, cuando un investigador de seguridad, Eric Daigle, descubrió un error que exponía la base de datos del sitio, permitiendo acceso no autenticado.

La base de datos contenía más de 62,000 correos electrónicos de clientes de Catwatchful y contraseñas en texto plano, así como registros de 26,000 dispositivos afectados. También reveló la identidad del administrador detrás de la operación, un desarrollador residenciado en Uruguay llamado Omar Soca Charcov. Al ser contactado para preguntar sobre esta brecha de seguridad, Charcov no ofreció respuesta.

Dado que no había indicios de que Charcov informara sobre la vulnerabilidad, una parte interesada compartió la base de datos de Catwatchful con un servicio de notificación sobre violaciones de datos. Catwatchful se suma a una extensa lista de operaciones de vigilancia que han sufrido brechas de seguridad en los últimos años, muchas veces debido a mala programación y deficientes prácticas de ciberseguridad. Según las estimaciones, este es el quinto caso de software espía en lo que va del año que ha expuesto datos de usuarios, sumándose a más de dos docenas de operaciones conocidas desde 2017.