Hace unos días la Comisión Federal de Comercio (FTC por sus siglas en inglés) emitió un comunicado al consumidor estadounidense informando la resolución del primer caso en el cual tomó intervención este organismo contra las aplicaciones de monitoreo o vigilancia, conocidas como “stalking apps” o “stalkerware”.

Este es nuestro primer caso contra las denominadas “apps de seguimiento”. Aunque pudieran existir razones legítimas para monitorear un teléfono, estas apps fueron diseñadas para ser instaladas y operadas en forma oculta y por ello su uso se presta a fines ilícitos y peligrosos. Siendo este el caso, trataremos de continuar exigiendo responsabilidad a quienes desarrollan y comercializan este tipo de software.”

Andrew Smith, Director del Organismo de Protección al Consumidor de la FTC

La resolución recayó sobre la empresa Retina-X Studios (RXS) de Jacksonville, Florida. Con más de 15 años de experiencia en desarrollo y comercialización de este tipo de productos, debió suspender su actividad comercial después que un hacker anónimo expuso las fallas de seguridad que tenían sus servidores y el nivel de vulnerabilidad al que quedaban expuestos los datos de sus clientes y de las víctimas a quienes sus clientes habían introducido estas apps (Mobilespy, Phonesheriff y Teenshield) en sus teléfonos inteligentes.

En el curso de la investigación de la FTC surgieron nuevos datos sobre la empresa:

  • Su único propietario o representante legal es James N. Johns Jr., quien asume la responsabilidad por las políticas de la empresa.
  • la app Mobilespy se comercializa desde 2007 y se otorgaron más de 5700 licencias de usuario
  • la app PhoneSheriff se comercializa desde 2011 con más de 4600 licencias registradas
  • la app TeenShield se comercializa desde 2015 con más de 5000 licencias registradas

Te resumimos las principales cuestiones que preocuparon a la FTC. La empresa no tomó las medidas necesarias para asegurar que sus clientes hicieran un uso legítimo de sus aplicaciones. Los compradores en algunas ocasiones tenían que vulnerar la protección de seguridad de los teléfonos de sus “pretendidos vigilados”, lo que en ciberseguridad se conoce como “jailbreaking” o “rooting”. Incluso después de instalar la app, podía borrar el ícono y el usuario del teléfono nunca se enteraría que estaban monitoreando su actividad. Aún en el caso de usuarios con propósitos legítimos, la empresa no logró preservar los datos de los afectados, que como ya dijimos incluían a menores de edad, con criterios mínimos de confidencialidad y seguridad.

Por ello la FTC resolvió exigir a RXS que tomara las medidas necesarias para asegurar el uso correcto de sus aplicaciones y que procediera a borrar todos los datos generados por estas aplicaciones de los servidores de la empresa. Un auditor externo deberá certificar que las acciones recomendadas a la empresa se ejecutan en debida y oportuna forma. Pero quizás la medida más importante fue que prohibió a la empresa RTX y al tal Johns Jr. ofrecer a la venta sus productos hasta no dar cumplimiento a lo solicitado. Esto es, no podrán publicitar, vender ni distribuir apps para monitoreo de dispositivos móviles si no garantizan que no será necesario vulnerar la seguridad de los dispositivos para su instalación y que pueden asegurar el empleo adecuado y lícito de las mismas.

Sin duda de este evento surgen dos primeras observaciones. En primer lugar celebramos la intervención de un organismo de fiscalización estatal, particularmente para la defensa de los consumidores, sobre potenciales riesgos derivados del empleo ilícito o incorrecto de un software desarrollado por el sector privado y de libre comercialización. Pero cuanto menos nos resulta curioso que esto haya sucedido sólo después que el hackeo a la empresa tomó estado público, sobre todo teniendo en cuenta que estas apps estaban disponibles en el mercado desde hacía ya más de diez años y con más de 15000 licencias de usuario otorgadas. En segundo lugar, nos sorprendió encontrar este comunicado sólo en idioma inglés, a pesar que el sitio web del FTC tiene una versión en castellano donde no se publicó esta información. Y esto refuerza el compromiso de Ciberprisma con la producción de contenidos para hispanoparlantes.

Por último, desde estas latitudes solemos pensar que nuestras instituciones no están a la altura de los riesgos derivados de este tipo de productos. Con el caso de RXS resulta evidente que también el sector estatal del primer mundo va corriendo detrás de los incidentes del ciberespacio y aún resta un largo camino por recorrer para brindar información y protección adecuada a los ciudadanos frente a la velocidad y multiplicidad de los riesgos tecnológicos.

Fuentes

Haz clic para acceder a 172_3118_-_retina-x_studios_agreement_containing_consent_order.pdf