Incluso las personas que se han involucrado en la ciberseguridad durante más de 20 años cometen errores. No estoy seguro de si ese es un pensamiento reconfortante para alguien o si todos deberían estar preocupados ahora. Pero es lo que es y tengo el hábito de reconocer mis errores. Así que aquí va.

Con la ayuda de Google pude «espiar» el paradero de mi esposa sin tener que instalar nada en su teléfono.

En mi defensa, todo este episodio sucedió en un sistema operativo en el que estoy lejos de ser un experto (Android), y estaba tratando de ser útil. Pero lo que sucedió fue inesperado.

¿Qué sucedió?

Instalé una aplicación en el teléfono Android de mi esposa y, para hacerlo, necesitaba iniciar sesión en mi cuenta de Google porque pagué por la aplicación. Todo salió bien, pero después de instalar la aplicación y probar si funcionaba, olvidé cerrar la sesión de Google Play. Tonto, lo sé, pero ahí lo tienes.

Da la casualidad de que, en el momento en que instalé la aplicación en el teléfono de mi esposa, estaba investigando cuánta información recopilaba sobre mí la función Timeline de Google Maps . La línea de tiempo es una función de Google que a menudo se pasa por alto y que «muestra una estimación de los lugares en los que puede haber estado y las rutas que puede haber tomado en función de su historial de ubicaciones». Tenía curiosidad por ver lo que Google registra sobre mí, a pesar de que nunca reviso activamente lugares ni reviso lugares.

Empecé a notar cosas extrañas, pero no podía identificar lo que estaba pasando. Me mostró lugares en los que había estado cerca, pero que nunca había visitado. Pensé que esto no era más que Google siendo un gran triunfador. Pero hace unos días recibí mi actualización y se enumeró un lugar que ni siquiera había estado cerca, pero sabía que mi esposa había estado. Entonces, de repente, me di cuenta: en realidad estaba recibiendo actualizaciones de ubicación del teléfono de mi esposa, así como del mío.

Lo único que pudo haber alertado a mi esposa sobre esta vigilancia involuntaria, pero nunca lo hice, fue mi inicial en un pequeño círculo en la esquina superior derecha de su teléfono, cuando usó la aplicación Google Play. (Debe tocar el ícono para ver los detalles completos de la cuenta en la que inició sesión).

Después de cerrar sesión en Google Play en el teléfono de mi esposa, el problema aún no se resolvió. Después de investigar un poco, supe que mi cuenta de Google se agregó a las cuentas de teléfono de mi esposa cuando inicié sesión en Play Store, pero no se eliminó cuando me desconecté después de notar el problema de seguimiento.

¿Qué necesita cambiar?

Envié un informe de problemas a Google, pero me temo que me dirán que es una función y no un error.

Hay algunas cosas que Google podría mejorar aquí:

La línea de tiempo de Google estaba habilitada en mi teléfono, no en el de mi esposa, así que siento que no debería haber recibido las ubicaciones visitadas por su teléfono.

Cuando inicié sesión con mi cuenta en su Google Play, recibí una advertencia de «inicio de sesión desde otro dispositivo». Siento que debería haber enviado algo similar a su teléfono. Algo parecido a «alguien más inició sesión en Google Play en tu teléfono».

Google Play solo muestra la primera letra de la cuenta de Google que está conectada.

Como dije, mi esposa nunca se dio cuenta, y es fácil imaginar cómo un usuario malintencionado podría superar incluso este pequeño regalo.

Por supuesto, un cínico podría decir que el obstáculo fundamental aquí es que si su modelo de negocio exige que usted acumule la mayor cantidad de información posible sobre alguien, es probable que aumenten las oportunidades para este tipo de abuso no intencional habilitado por la tecnología.

Coalición contra el Stalkerware

Malwarebytes, como uno de los miembros fundadores de la Coalición contra el Stalkerware (CAS), hace todo lo que está a su alcance para mantener a las personas a salvo de las espías. Pero los escáneres de malware se limitan a encontrar aplicaciones que espíen al usuario y envíen la información a otra parte. En este caso, incluso TinyCheck no sería útil ya que la información no se envía a un servidor malicioso conocido.

Sin embargo, deberíamos ser muy claros aquí. Esta situación no es una forma de stalkerware y, por diseño, no intenta evitar el consentimiento del usuario. Esto es más acertadamente un defecto de diseño y experiencia del usuario. Sin embargo, sigue siendo una falla que puede y debe ser señalada, porque el resultado final aún puede proporcionar un seguimiento de la ubicación del dispositivo de otra persona.

Eva Galperin, directora de ciberseguridad de Electronic Frontier Foundation, que también es socia fundadora de Coalition Against Stalkerware, dijo a Malwarebytes Labs que esta falla en realidad muestra por qué es tan importante para los desarrolladores de tecnología tener en cuenta las situaciones de abuso doméstico al diseñar su productos.

La falla «resalta la importancia de la garantía de calidad y las pruebas de usuario que toman en cuenta situaciones de abuso doméstico y toman en serio la filtración de datos de ubicación», dijo Galperin. “Uno de los momentos más peligrosos en una situación de abuso doméstico es el momento en que la sobreviviente está tratando de desenredar su vida digital de la de sus abusadores”. Ese es un momento en el que los datos de los sobrevivientes son particularmente vulnerables a este tipo de problema de configuración incorrecta y las posibles consecuencias son muy graves «.

Abuso habilitado por la tecnología

Quizás piense que con acceso físico al teléfono de mi esposa podría haberlo hecho mucho peor que esto, incluida la instalación de una aplicación de software espía. Pero este tipo de mal uso abusivo de la tecnología legítima es lo suficientemente común como para tener un nombre: abuso habilitado por la tecnología.

Y, como señaló uno de mis compañeros de trabajo, las personas a menudo son perezosas cuando se ocupan de las computadoras y, a menudo, se conforman con lo primero que encuentran que funciona. Y este es realmente un método de bajo esfuerzo para espiar el paradero de alguien. Además, no necesita instalar nada y existe una mínima posibilidad de que lo descubran.

Como detenerlo

Por ahora, lo único que podemos hacer es verificar qué cuentas se han agregado a su teléfono. Si bien esta publicación habla sobre la información de ubicación de Google Maps, estoy bastante seguro de que habrá otras aplicaciones vinculadas a su cuenta en lugar de a su teléfono. Esas aplicaciones pueden ser consultadas para obtener información por personas que no sean el propietario del teléfono si están conectadas a Google Play.

Las instrucciones a continuación pueden ser ligeramente diferentes para las diferentes versiones de Android, pero tendrá una idea de dónde buscar las cuentas agregadas.

En Configuración> Cuentas  y copias de seguridad  > Administrar cuentas , encontré mi cuenta de Google en la lista. Haga clic en la cuenta que desea eliminar y verá la opción para hacerlo. Después de eliminar mi cuenta desde allí en el teléfono de mi esposa, el problema de seguimiento finalmente se resolvió.