"Hackeamos" un móvil Android: así son los servicios para espiar móviles que pueden llevarte a la cárcel

"Hackeamos" un móvil Android: así son los servicios para espiar móviles que pueden llevarte a la cárcel

168 comentarios Facebook Twitter Flipboard E-mail
"Hackeamos" un móvil Android: así son los servicios para espiar móviles que pueden llevarte a la cárcel

Si has llegado hasta aquí es posible que lo hayas hecho buscando un tutorial o guía sobre cómo espiar un móvil Android. Bueno, sentimos decirte que aquí no lo vas a encontrar, pero sí vas a ver cómo funcionan estas herramientas, cuánto cuestan y, por supuesto, qué puede pasarte en términos legales.

Hemos investigado y probado diferentes alternativas para ver sí son reales y cumplen con las expectativas, y lo cierto es que... sí. El software existe, funciona y está al alcance de cualquiera que esté dispuesto a pagar por él. Pero claro, también hemos hablado con un abogado especializado en Derecho Penal que nos ha dejado bastante claro que podemos ir a la cárcel hasta cuatro años por usarlo, así que quizá no sea muy buena idea. Pero no nos adelantemos, empecemos por el principio.

Desde Xataka Android no fomentamos ni animamos a usar este tipo de herramientas. Por motivos periodísticos e informativos, hemos querido reflejar cómo funcionan estas aplicaciones y qué se puede conseguir destacando, sobre todo, las consecuencias legales.
Un vistazo a…
Cómo PROTEGER tu ANDROID de VIRUS y MALWARE: Trucos y consejos

Espiar un móvil Android, así lo hemos hecho

Espía

Basta con una sencilla búsqueda en Google para descubrir infinidad de programas que prometen espiar móviles Android. Es curioso, de hecho, que la inmensa mayoría de empresas que los ofrecen tiene una web cuidada, con unos mensajes muy blancos y que dan a entender que es normal que quieras usar sus software. Por ejemplo, algunas compañías dicen que es un software de control parental, que sirve para saber dónde están tus hijos y "tener paz mental" o para monitorizar a los empleados que pueden poner en riesgo a tu empresa.

Eso sí, ninguna se hace responsable de cómo lo uses. Ellos te proporcionan las herramientas, cómo las emplees es algo que ya depende sola y exclusivamente de ti. Algunas de las aplicaciones dejan patente en sus términos legales que solo puedes usarlo en un móvil personal o que posees, que tienes permiso escrito explícito del usuario a monitorizar y que sabes que debes cumplir con las leyes de tu país. Todo ello para terminar con un "asumes la responsabilidad total de instalar y usar este software" y que "la empresa, vendedor o distribuidor no es responsable de ninguna violación legal o consecuencia de usarlo".

"Algunas razones para espiar a alguien podrían ser que los padres necesiten proteger a sus hijos de las amenazas cibernéticas, la pareja que quiere ver si su cónyuge le engaña o el dueño de la empresa que quiere comprobar la lealtad de los empleados y ver si están filtrando acuerdos comerciales importantes o no" - Argumentos de una de las webs que ofrecen software de espionaje.

¿Y cómo funcionan? No tiene mucho misterio, pero tienen el ligero inconveniente de que debes tener, sí o sí, acceso al móvil de la víctima, es decir, debes tener en tu poder el móvil que quieres espiar. De hecho, es curioso lo realmente sencillo y rápido que es el proceso de configuración, apenas un par de minutos si eres medianamente ágil y sabes lo que estás haciendo.

Descargar Apk
Todos los servicios tienen en común que debes instalar un archivo APK en el móvil de la víctima.

Todos estos servicios tienen dos componentes: un cliente en el móvil y un panel de control online. Para que la herramienta funcione, la empresa te proporciona un archivo APK que debes instalar en el móvil a espiar. Cuando lo haces, dicho software monitoriza toda la actividad del dispositivo y permite consultar su estado de forma remota mediante el panel de control. Evidentemente, el móvil debe estar siempre conectado a Internet.

Lo primero que te piden las herramientas de espionaje es que desactives Google Play Protect

Cuando instalas un archivo APK como este, Google Play Protect detecta que es un archivo malicioso cuyo comportamiento se asemeja, por no decir que es igual, al de un troyano en PC. Después de todo, tiene funciones incorporadas como un keylogger (para rastrear pulsaciones de teclas), acceso a la ubicación, etc. Por ello, lo primero que te piden antes de instalar el APK es que desactives Play Protect, ya que de otra manera el móvil detectaría cierta actividad sospechosa y avisaría al usuario o, directamente, desinstalaría la aplicación de un momento a otro.

Configuracion 1
Lo primero que nos piden las aplicaciones es que desactivemos Google Play Protect para evitar que el dispositivo detecte la aplicación maliciosa.

Además, cuando desactivas Play Protect, tienes que concederle todos los permisos habidos y por haber: ubicación, SMS y MMS, llamadas, contactos, grabar audio, sacar fotos y vídeos, acceso a fotos, contenido multimedia y archivos y calendario. También debes desactivar la optimización de batería (para que Android no la cierre al estar en segundo plano), activar los permisos de accesibilidad (para que la app no se pare si se reinicia el móvil, por ejemplo) y activar el administrador de dispositivos (para evitar que el teléfono se bloquee o habilitar el borrado de archivos remoto).

Configuracion 2
El proceso de configuración puede cambiar de una aplicación a otra, pero todas requieren que les des todos los permisos posibles, que la configures como administrador de dispositivos, etc.

Una vez le has abierto todas las puertas del móvil, la aplicación muestra un botón para esconder el icono del cajón de aplicaciones y empezar a monitorizar. Y no creas que es fácil encontrarla en Ajustes > Aplicaciones, nada más lejos de la realidad. La aplicación se camufla con un nombre técnico como "Sync Services", "System Service" y cosas por el estilo. Si Android notificase al usuario que "Sync Services está accediendo a tu ubicación", posiblemente este pensará que se trata de algo del móvil y que no merece mayor atención.

Y funciona, por supuesto que funciona. Después de todo, has desactivado todas las medidas de seguridad del móvil, por lo que está, literalmente, a tu merced. Justo aquí abajo puedes ver cómo hemos conseguido acceder a la ubicación GPS casi en tiempo real de un móvil de pruebas con un software que, por cierto, es gratuito.

Ubicacion
Con el software podemos ver la ubicación de nuestra víctima en tiempo real. La dirección ha sido difuminada por motivos de privacidad.

Este otro software que tienes aquí abajo permite sacar una foto con la cámara interna cada vez que la víctima desbloquea el dispositivo y acceder a las capturas de pantalla que haya tomado el usuario. Si pulsas sobre ella te la puedes descargar al ordenador e incluso conocer las coordenadas geográficas exactas. Esta, por ejemplo, me la hizo cuando desbloqueé el teléfono para ver si la app estaba bien configurada. También puedes ver cómo ha registrado las capturas de pantalla que he hecho.

Espia 2
En la imagen de arriba puede verse cómo la aplicación me ha hecho una foto sin yo saberlo al desbloquear la pantalla. En la imagen de abajo se muestra el registro de capturas de pantalla que se han hecho desde el móvil.

No es lo único que puedes hacer. En otros software, puedes activar la cámara y sacar fotos en vivo, grabar el sonido ambiente, consultar los mensajes recibidos (sea WhatsApp, Telegram, Line o la app que quieras) mediante el registro de notificaciones y los mensajes enviados mediante un keylogger, acceder a la galería, ver el historial de llamadas, el historial de navegación... Puedes acceder a todo, absolutamente todo, siempre y cuando estés dispuesto a pagar.

Los software no son precisamente baratos. Hay una alta demanda, por lo que las empresas no se cortan en poner unos precios bastante altos. No vamos a decir el nombre de las compañías, pero en la siguiente tabla puedes consultar los rangos de precios de todos los que hemos investigado:

PRECIOS

SERVICIO 1

Estándar: 21,99 dólares al mes
Premium: 25,9 dólares al mes
Gold: 30,99 dólares al mes

SERVICIO 2

Basic: 29,99 dólares al mes
Premium: 35,99 dólares al mes

SERVICIO 3

Básico: 26,99 euros al mes
Premium: 59,99 euros al mes
Paquete familiar: 52,82 euros al mes

SERVICIO 4

Premium: 68 dólares al mes
Extreme: 199 dólares cada tres meses

SERVICIO 5

Personal: 29,95 dólares al mes
Familiar: 49,95 dólares al mes

SERVICIO 6

7,90 dólares al mes

SERVICIO 7

Premium: 29,99 dólares al mes
Ultimate: 39,99 dólares al mes

Algunos servicios ofrecen descuentos si compras una suscripción anual o paquetes de meses. Aquí se muestran los precios base.

Los mitos del hackeo de móviles

espía

Vemos que es completamente posible espiar un móvil Android (algunos software funcionan también en iOS mediante certificados de empresa de dudosa procedencia), aunque queda claro que, de una forma u otra, es necesario tener acceso físico al terminal. Eso no quiere decir que no sea posible hackear un dispositivo de forma remota mediante ataques de phising, por ejemplo.

Este tipo de ataques no necesitan que el usuario instale una app, sino que pique en una trampa. El caso más famoso fue el Celebgate, cuando se filtraron cientos y cientos de fotos de celebridades después de que un hacker accediese a sus cuentas de iCloud. ¿Cómo lo hizo? Mandó un correo fingiendo ser Apple y solicitando que iniciasen sesión en sus cuentas. Creó una web falsa, las afectadas introdujeron sus credenciales en ella y listo, el hacker obtuvo los usuarios y contraseñas. El resto, como se suele decir, es historia.

Milanuncios
Algunos "hackers" ofrecen sus servicios en milanuncios, que van desde hackear un móvil hasta borrar multas de tráfico. Suelen pedir que contactes por WhatsApp.

Hay varias personas que se anuncian a través de páginas como milanuncios que prometen hackear un móvil de forma remota. Bueno, esto, y todo lo que quieras, como eliminar multas de la DGT, conseguir exámenes de oposiciones, hackear páginas de apuestas y casinos... Llamamos a unos cuantos para ver qué eran capaces de hacer, pero cuando descolgaban el teléfono se quedaban escuchándonos y no decían nada.

Sea como fuere, lo que está claro es que usar este tipo de herramientas no es una buena idea. Más allá de que es poco ético y moralmente cuestionable, si la persona a la que estás espiando te pilla (porque vea un consumo elevado de batería o datos de un servicio que no conoce y empiece a sospechar, por ejemplo), puede interponer una denuncia y mandarte a la cárcel.

¿Y qué puede pasarte a nivel legal?

Espia 1

Aunque los servicios se anuncian como un sistema de control parental, para estar seguro de que tu familia está bien y demás argumentos de guante blanco, es evidente que usar el software sin consentimiento de la otra persona no es legal. Ojo, no instalar, usar. Que instales la aplicación es una cosa y que la uses para acceder a datos personales de forma fraudulenta son cosas distintas.

Da igual que sea tu mujer, tu marido, tu hijo, tu hija o un primo lejano, si la persona descubre que has estado accediendo a su información sin su consentimiento e interpone una denuncia, te arriesgas a ir a la cárcel. Dependerá del juez, del contexto y de cómo se interprete, pero la ley es la ley.

¿Y qué dice la ley? Para salir de dudas hemos hablado con Federico González Barrera, investigador del Departamento de Derecho penal de la Universidad de Granada y abogado especializado en Derecho Penal. Según nos cuenta, "la posibilidad de obtener datos personales a partir de una aplicación de móvil es una cuestión muy interesante que dio lugar a la reforma del Código Penal a partir de la LO 1/2015".

Si se extrae información sin consentimiento del titular la pena podría ser prisión de 1-4 años y multa de 12-24 meses

Con esta reforma "se modificó el artículo 197", añadiéndose cuatro nuevos artículos "que tienen por objeto garantizar la aplicabilidad del ius puniendi [traducido literalmente como "derecho a penar"] ante nuevos fenómenos jurídico-penales como el de la utilización de las nuevas tecnologías para sustraer datos personales".

Según nos cuenta, "en el artículo 197.1 se regula el tipo penal básico e histórico, es decir, aquel que castiga al sujeto que se apodera de secretos que vulneran la intimidad de otro, sin el consentimiento del sujeto pasivo [la víctima]". Esto puede incluir correos electrónicos, mensajes, archivos... Si se hace sin consentimiento del titular "daría lugar a la aplicabilidad de este precepto cuyas penas son prisión de 1-4 años y multa de 12-24 meses". Esto se agravaría si, por ejemplo, se cediesen estas imágenes a terceros, al amparo del artículo 197.3 CP.

En lo referente al caso que nos ocupa, "creo que deberíamos acudir a los novedosos artículos 197 bis y ter, que incorporan los llamados delitos de hacking, el delito de interceptación de transmisiones de datos automatizados y las nuevas formas delictivas de utilización de instrumentos informáticos para la comisión de los delitos del art. 197. 1 y 2 CP."

Hacker

El primero de ellos (197.bis.1) "tipifica el delito de acceso a sistemas de información". Mediante esta nueva modalidad, sigue el abogado, "se castiga el hecho de que un hacker permita a cualquier tercero el acceso a sistemas de datos informáticos o de información". Este delito se conoce como "delito de intrusismo informático".

"El artículo 197 ter creo que es el más acertado para dar respuesta a la cuestión que me planteas", continua González. "Este precepto ha tipificado las formas preparatorias de participación en los delitos previstos en el art. 197.1 y 2 CP" y para que concurra esta modalidad delictiva "es necesario que exista una fase previa de realización del delito, es decir, que haya un sujeto activo (autor) que se propone, antes de la comisión del delito estipulado en el artículo 197 (de obtener datos, imágenes… con o sin el consentimiento del autor), facilitar a terceros la comisión de estos delitos a partir de la creación de un programa informático [como una app] o un código de acceso que permita acceder a la totalidad o parte de un sistema de información".

Las empresas se lavan las manos sobre cómo el usuario utilice el software. Es como acusar a un fabricante de cuchillos de un asesinato

Pero claro, estamos hablando de programas que, al menos de cara a la galería, se venden como un software de control parental y no son responsables de cómo lo use el usuario. Entiéndelo de la siguiente forma: un fabricante de armas no es culpable de que alguien use sus armas para matar, como tampoco lo es un fabricante de cuchillos. Otra cosa sería que la aplicación se anunciase como un software para espiar y para cometer los actos que hemos visto que se pueden hacer (que las hay), y ahí la cosa cambiaría.

"El artículo 197 castiga con una pena de seis meses a dos años de prisión a aquel sujeto que cree una app que facilite el acceso a sistemas de información (ya sea ordenador, teléfono móvil, tablets…) y que, además, dicha app permita sustraer (con el consentimiento o sin el consentimiento de la víctima) datos personales que se encuentren amparados por el artículo 18.3 de la Constitución Española". Por ejemplo, si un amigo programador te desarrolla una aplicación para que tú espíes a tu pareja, él incurriría en un delito penado con entre seis meses y dos años de cárcel y tú, por usarla, con entre uno y cuatro años de prisión y multa de entre 12 y 24 meses.

Comentarios cerrados
Inicio