Una filtración de datos expuso la información privada de más de 62,000 usuarios de Catwatchful, una aplicación que operaba como herramienta de espionaje encubierta bajo el supuesto de control parental. El incidente dejó al descubierto correos electrónicos, contraseñas y registros de seguimiento de al menos 26,000 dispositivos, principalmente en países de América Latina.
Falla de seguridad expuso datos desde 2018
La vulnerabilidad fue detectada por el investigador de seguridad Eric Daigle, quien descubrió que la app carecía de autenticación en su API personalizada, permitiendo el acceso libre a su base de datos. La filtración reveló registros acumulados desde 2018, con ubicaciones, mensajes, fotos, audios, e incluso acceso remoto a micrófonos y cámaras.
El contenido afectaba tanto a quienes usaban la aplicación como a los dispositivos vigilados. Según el análisis, México, Colombia, India, Perú, Argentina, Ecuador y Bolivia fueron los países más afectados por el rastreo.
Catwatchful operaba como stalkerware
Catwatchful requería instalación directa en los teléfonos vigilados, una característica común de las aplicaciones denominadas stalkerware, diseñadas para monitorear sin consentimiento. La app utilizaba Firebase, de Google, para alojar la información extraída. Tras el hallazgo, Google bloqueó temporalmente la cuenta del desarrollador y actualizó Google Play Protect para alertar a los usuarios si la app está instalada.
“Estamos investigando este caso concreto y, si identificamos alguna infracción, se tomarán medidas apropiadas”, señaló Ed Fernandez, portavoz de Google.
Desarrollador identificado en la filtración
Una entrada en la base de datos reveló la identidad del desarrollador: Omar Soca Charcov, con sede en Uruguay. Su nombre, número telefónico y dirección de correo electrónico coincidían con registros de LinkedIn y la cuenta de administración del servidor en Firebase.
Aunque TechCrunch intentó contactarlo en inglés y español, el desarrollador no ha respondido públicamente a las solicitudes ni ha informado a los usuarios afectados.
Catwatchful reanudó operaciones desde HostGator, aunque la empresa de alojamiento no ofreció declaraciones. La exposición de datos continúa siendo motivo de revisión por parte de las autoridades y plataformas tecnológicas involucradas.
Información relacionada
Descubre más desde
Suscríbete y recibe las últimas entradas en tu correo electrónico.