Fallo de seguridad expone a miles de usuarios de espía Catwatchful

Una vulnerabilidad reveló datos de 62.000 clientes y 26.000 víctimas. La app disfrazada de control parental robaba mensajes, ubicación y accedía a micrófonos. El incidente afecta principalmente a Latinoamérica, incluyendo Bolivia. El desarrollador uruguayo no ha respondido sobre el caso.

«Invisible, pero no invulnerable»: cómo operaba el stalkerware

Catwatchful se hacía pasar por una app de monitoreo infantil, pero subía fotos, mensajes y grabaciones de audio a un panel controlado por quien instalaba el software. Funcionaba en Android y usaba servidores de Google Firebase para almacenar datos robados. «Es ilegal y está prohibido en tiendas oficiales», señala el texto.

El error que lo cambió todo

El investigador Eric Daigle descubrió que la API de Catwatchful no requería autenticación, exponiendo correos y contraseñas en texto plano. La base de datos incluía víctimas desde 2018, con mayor presencia en México, Colombia, India, Perú, Argentina, Ecuador y Bolivia.

El rastro que llevó al desarrollador

Omar Soca Charcov, uruguayo, fue identificado como administrador por un fallo en la configuración de seguridad. Su correo personal aparecía vinculado a la operación. Aunque abrió los mensajes de TechCrunch, no respondió preguntas sobre si alertaría a los afectados.

Stalkerware: un negocio riesgoso y persistente

Es el quinto caso de spyware expuesto este año. Estas apps suelen usarse para vigilancia no consentida entre parejas, aprovechando acceso físico al dispositivo. Google añadió Catwatchful a su herramienta Play Protect para detectarlo, pero Firebase aún aloja los datos robados.

Pasos para recuperar el control

Marcar *543210# en el teléfono revela si está instalado. La Coalición Contra Stalkerware ofrece recursos para eliminarlo de forma segura, ya que desinstalarlo puede alertar al agresor. Se recomienda contactar a líneas de ayuda contra violencia doméstica si hay riesgo.