Ordena a la empresa que elimine todos los datos robados en secreto

Las aplicaciones vigilaban los movimientos físicos, el uso del teléfono y la actividad en línea a través de un pirateo oculto que exponía a los propietarios de dispositivos a acosadores, abusadores, piratas informáticos y otras amenazas.

Hoy, la Comisión Federal de Comercio prohibió a SpyFone y a su director ejecutivo Scott Zuckerman del negocio de la vigilancia por acusaciones de que la empresa de aplicaciones de stalkerware recopilaba y compartía en secreto datos sobre los movimientos físicos de las personas, el uso del teléfono y las actividades en línea a través de un pirateo de dispositivo oculto.

Las aplicaciones de la empresa vendían acceso en tiempo real a su vigilancia secreta, lo que permitía a los acosadores y agresores domésticos rastrear sigilosamente a los posibles objetivos de su violencia. L

a falta de seguridad básica de SpyFone también expuso a los propietarios de dispositivos a piratas informáticos, ladrones de identidad y otras amenazas cibernéticas.

Además de imponer la prohibición del negocio de vigilancia, la orden de la FTC requiere que SpyFone elimine la información recolectada ilegalmente y notifique a los propietarios de dispositivos que la aplicación se instaló en secreto.

«SpyFone es una marca descarada para un negocio de vigilancia que ayudó a los acosadores a robar información privada», dijo Samuel Levine, director interino de la Oficina de Protección al Consumidor de la FTC.

“El stalkerware estaba oculto a los propietarios de dispositivos, pero estaba completamente expuesto a los piratas informáticos que explotaban la seguridad descuidada de la empresa.

Este caso es un recordatorio importante de que las empresas basadas en la vigilancia representan una amenaza significativa para nuestra seguridad.
Seremos agresivos a la hora de buscar prohibiciones de vigilancia cuando las empresas y sus ejecutivos invadan atrozmente nuestra privacidad «.

Este es el segundo caso que la FTC ha presentado contra las aplicaciones de stalkerware, y el primero en el que la FTC está obteniendo una prohibición.

En una queja, la FTC alegó que Support King, LLC, que operaba como SpyFone.com, y su CEO vendían aplicaciones de stalkerware que permitían a los compradores monitorear subrepticiamente fotos, mensajes de texto, historiales web, ubicaciones de GPS y otra información personal del teléfono en el que se instaló la aplicación sin el conocimiento del propietario del dispositivo.

Para instalar su software, SpyFone requería que los compradores que usaban las aplicaciones en dispositivos Android pasaran por alto muchas de las restricciones del teléfono.

La compañía de stalkerware también proporcionó instrucciones sobre cómo ocultar la aplicación para que el usuario del dispositivo no supiera que el dispositivo estaba siendo monitoreado, alegó la FTC.

Para utilizar algunas funciones, como la supervisión del correo electrónico, los compradores tenían que «rootear» un teléfono en el que está instalada la aplicación, lo que también podría anular las garantías y exponer el dispositivo a riesgos de seguridad.

La vigilancia secreta ilegal proporcionada por las aplicaciones facilitó a los acosadores y abusadores monitorear sus posibles objetivos y robar información confidencial sobre sus movimientos físicos, uso del teléfono y actividades en línea.

Por ejemplo, algunos de los productos permitían al comprador ver la ubicación en vivo del dispositivo y ver los correos electrónicos y los chats de video del usuario del dispositivo.

La empresa de aplicaciones de stalkerware no solo recopiló y compartió ilegalmente la información privada de las personas, sino que tampoco logró mantenerla segura.

La FTC alega que SpyFone no implementó medidas de seguridad básicas a pesar de prometer que tomó «precauciones razonables para salvaguardar» la información que recopiló ilegalmente.

Las deficiencias de seguridad de las aplicaciones de stalkerware incluyen no cifrar la información personal que almacena, incluidas fotos y mensajes de texto; no asegurarse de que solo los usuarios autorizados puedan acceder a la información personal; y transmitir las contraseñas de los compradores en texto sin formato.

Además, después de que un pirata informático accedió al servidor de la empresa y obtuvo datos personales de unos 2.200 consumidores en agosto de 2018, la empresa prometió a los compradores que trabajaría con una empresa de seguridad de datos externa y las autoridades policiales para investigar el incidente. Sin embargo, la FTC alega que la empresa no cumplió con esta promesa.

Además de prohibir que Support King y Zuckerman ofrezcan, promocionen, vendan o publiciten cualquier aplicación, servicio o negocio de vigilancia, el acuerdo propuesto requiere que eliminen cualquier información recopilada ilegalmente de sus aplicaciones de stalkerware.

También les ordena que notifiquen a los propietarios de los dispositivos en los que se instalaron las aplicaciones de SpyFone que sus dispositivos podrían haber sido monitoreados y que los dispositivos podrían no ser seguros.

La Comisión votó 5-0 para emitir la denuncia administrativa propuesta y aceptar la orden de consentimiento con la empresa. El comisionado Rohit Chopra emitió una declaración separada.

La FTC publicará pronto una descripción del paquete en el Registro Federal.

La orden propuesta estará sujeta a comentarios públicos durante 30 días después de su publicación en el Registro Federal, después de lo cual la Comisión decidirá si la propuesta es definitiva.

Las instrucciones para presentar comentarios aparecerán en el aviso publicado. Una vez procesados, los comentarios se publicarán en Regulations.gov.

NOTA: La Comisión emite una denuncia administrativa cuando tiene “motivos para creer” que la ley ha sido o está siendo violada.
Cuando la Comisión emite una orden de consentimiento de manera definitiva, tiene fuerza de ley con respecto a acciones futuras. Cada violación de dicha orden puede resultar en una multa civil de hasta $ 43.280.