Tu iCloud ahora está en manos de un joven chino — y ni siquiera se preocupó por la seguridad

La periodista Maya Arson Krimiv en su blog afirmó que casi hace 2 años, en febrero de 2024, recibió una pista. En acceso público apareció una herramienta de informes que contenía el historial detallado de todas las compras de usuarios de tres servicios de vigilancia: SpyX, MSafely y SpyPhone. Entonces no tuvieron tiempo de revisar esa información, pero más tarde, en el marco de la investigación de otra filtración, volvieron a esos datos. Y resultó que detrás de esos servicios discretos se ocultaba una industria mucho más amplia.

Como se descubrió, los operadores del software de acecho a menudo se registran en los servicios de la competencia para estudiar sus capacidades o copiar funciones directamente. Por eso la aparición de la dirección de correo de SpyX en la base de soporte de otro servicio espía parecía lógica. De los documentos se desprendía que una persona vinculada a SpyX contrató una suscripción, solicitó un reembolso y luego trató de disputar el pago alegando fraude con la tarjeta bancaria. En respuesta, la empresa presentó al proveedor de pagos un expediente detallado donde, pese a cierta ocultación parcial, se conservaban el nombre del titular de la tarjeta y el nombre del banco. Esos datos fueron el primer hilo que condujo a las personas reales detrás del servicio.

Las páginas de contacto de SpyX apuntaban a compañías registradas en Hong Kong y en el Reino Unido, ambas bajo la marca Gbyte Technology. En los documentos británicos figuraba entre los directivos Xunde Chen. La búsqueda por el nombre chino de la empresa llevó al sitio corporativo de Gbyte y a una página en la plataforma de búsqueda de empleo BOSS Zhipin. Allí también se hallaron fotos de la oficina en la ciudad de Shenzhen, incluida una panorámica del interior.

Esos fuentes dejaron claro que Gbyte fue fundada en 2022 y desde el principio se orientó al mercado extranjero, promoviendo herramientas para la informática forense móvil. La empresa declaraba planes de salir a bolsa en un plazo de 5–10 años y se jactaba de que alrededor del 50 % de sus empleados trabajaba en investigación y desarrollo, incluso en colaboración con universidades.

Más adelante se lograron obtener no solo pedidos de usuarios, sino bases completas de cuentas, datos de víctimas e incluso contraseñas en texto claro, incluidos credenciales de iCloud y Google. La protección era prácticamente inexistente: bastaba saber a qué API dirigirse. Además, uno de los errores ofrecía acceso total al panel de administración del software de acecho.

Precisamente en ese tipo de filtraciones suelen aparecer los propios creadores de los servicios espía. En los conjuntos de datos se encontraron direcciones de correo que pudieron vincularse a Xunde Chen. La verificación mediante herramientas de OSINT (inteligencia de fuentes abiertas) permitió reunir su perfil. Chen, también conocido como Joen Chen, nació en febrero de 1988, vive en Shenzhen y posee un título en ciencias de la computación por la Universidad de Transporte de Pekín. Antes de fundar Gbyte trabajó como arquitecto jefe de seguridad en Wondershare y se dedicó a la ingeniería inversa de plataformas móviles. Fue allí donde, en esencia, se sentaron las bases tecnológicas sobre las que más tarde crecieron servicios como SpyX.

Durante su etapa en Wondershare, Chen encontró métodos para eludir los mecanismos de protección de iCloud y de los servicios de Google, obteniendo acceso a datos sincronizados en la nube solo con el nombre de usuario y la contraseña. Esos métodos son usados por SpyX para espiar de forma remota dispositivos con iOS y Android. Además, el servicio puede operar incluso con cuentas que tienen activada la autenticación de dos factores, algo que hoy ya está fuera del alcance de la mayoría de competidores.

El riesgo adicional radica en que a los usuarios se les permite registrarse en los servicios de Gbyte mediante cuentas de Google. Alrededor del 60 % de todas las cuentas se creaban de ese modo. Si Google cortara esa integración, los servicios perderían al instante una parte considerable de su audiencia.

Según los datos publicados, se puede suponer que en Gbyte trabajan al menos 20 personas. Al mismo tiempo, los ingresos por el software de acecho en todo el tiempo se estiman en aproximadamente $500 000. Esa suma difícilmente alcanza para sostener una empresa de ese tamaño, lo que sugiere la existencia de otras fuentes de ingresos.

Y de hecho, en el panel de administración se halló otra sorpresa: una clave de API pública de GitHub. Esa clave dio acceso a los códigos fuente no solo de los servicios espía, sino de todo un conjunto de otros proyectos. Entre ellos había una aplicación para falsificar la localización GPS, servicios para subir de nivel personajes en juegos MMO, una tienda de moneda dentro del juego para Elden Ring, una herramienta basada en IA para redacción publicitaria y atención al cliente, así como herramientas de recuperación de datos de dispositivos en los mercados chino y extranjero. En conjunto, los servicios espía de Gbyte suman alrededor de 1,5 millones de usuarios registrados.

Aunque parte del código relacionado con el acceso a los datos en la nube de Apple y Google quedó fuera de la filtración, los fragmentos disponibles ya estaban llenos de vulnerabilidades. Para muchos servicios estaban expuestos datos sobre pedidos, usuarios y dispositivos, incluidas direcciones de correo electrónico, contraseñas en texto claro, nombres reales y ubicaciones.

Antes de publicar la investigación, la empresa Gbyte y Xunde Chen recibieron notificación de todos los problemas hallados, pero no respondieron a las solicitudes y no corrigieron las vulnerabilidades. Parte de los datos ya había llegado anteriormente a la base del servicio Have I Been Pwned debido a un malentendido con un embargo, y episodios aislados de la filtración fueron cubiertos por los medios. Los conjuntos de datos actualizados se entregarán a Apple y Google, así como a investigadores y periodistas bajo petición.