“El código se perdió” — la excusa del año. Los creadores del software espía no pueden corregir sus propios errores.
TheTruthSpy expuso a todos: tanto a las víctimas como a sus propios clientes.
El creador del software espía TheTruthSpy, la empresa vietnamita 1Byte Software dirigida por Vang (Vardi) Thiu, vuelve a estar en el centro de la polémica. El investigador independiente Swarang Vaid descubrió una vulnerabilidad crítica que permite a un atacante restablecer la contraseña de cualquier cuenta en la aplicación y en sus múltiples clones para Android. Tras cambiar la clave, el intruso obtiene acceso completo a conversaciones, fotos, registros de llamadas y datos de geolocalización de las víctimas.
TheTruthSpy y productos relacionados como Copy9, iSpyoo y MxSpy se presentan como herramientas de control parental, pero en la práctica se usan para espiar sin consentimiento del dueño del dispositivo. Según TechCrunch, la falla detectada sigue sin corregirse: 1Byte Software reconoció que parte del código fuente se perdió y que solucionar el error ya no es posible.
Este no es el primer escándalo en torno a la plataforma. En 2021, un fallo expuso los datos personales de más de 400.000 usuarios, incluidos mensajes, fotos y rutas de desplazamiento. Dos años después, en 2023, una nueva filtración afectó a otros 50.000 dispositivos. Estos incidentes muestran la incapacidad de los desarrolladores para proteger incluso a sus propios clientes, y mucho menos a las personas espiadas.
Las investigaciones también revelaron maniobras financieras de 1Byte Software. Para esquivar los bloqueos de los sistemas de pago, los responsables de TheTruthSpy recurrieron al blanqueo de dinero y al uso de documentos falsificados, moviendo millones de dólares mediante cuentas ficticias en distintos países. A pesar de estos hallazgos, el proyecto sigue activo: su infraestructura funciona y parte de sus operaciones ahora se presenta bajo el nombre PhoneParental.
El análisis de la infraestructura demuestra que la aplicación aún utiliza el backend vulnerable JFramework (antes Jexpa Framework) para procesar y transferir información. Incluso la nueva apuesta de la compañía, MyPhones.app, se basa en la misma arquitectura insegura.
TechCrunch y otros expertos advierten que TheTruthSpy y sus derivados continúan siendo una amenaza grave. No solo recolectan información altamente sensible, sino que también han demostrado repetidamente que son incapaces de protegerla. Mientras la vulnerabilidad permanezca abierta, decenas de miles de usuarios siguen expuestos a que sus teléfonos sean comprometidos sin que se den cuenta.