FTC Confirma Prohibición a Fundador de Stalkerware: Scott Zuckerman Sigue Vetado
FTC Mantiene la Prohibición a Fundador de Stalkerware Scott Zuckerman
La Comisión Federal de Comercio (FTC) de Estados Unidos ha desestimado la solicitud de Scott Zuckerman, fundador de la empresa de software espía de consumo Support King y sus filiales SpyFone y OneClickMonitor, para revocar una prohibición impuesta previamente. Esta prohibición le impedía participar en la industria de la vigilancia tras un incidente de seguridad que expuso datos de sus clientes y de las personas espiadas.
Detalles de la Decisión de la FTC
En una rueda de prensa el lunes, la FTC anunció la denegación de la petición de Zuckerman, quien había solicitado a principios de este año que se modificara o cancelara la orden de prohibición emitida en 2021. En aquel momento, la FTC prohibió a Zuckerman «ofrecer, promocionar, vender o anunciar cualquier aplicación, servicio o negocio de vigilancia», lo que esencialmente le impedía operar un negocio de stalkerware. Además, se le ordenó eliminar todos los datos recopilados por SpyFone y establecer prácticas de ciberseguridad rigurosas.
Samuel Levine, entonces director interino de la Oficina de Protección al Consumidor de la FTC, describió SpyFone como un «nombre de marca descarado para un negocio de vigilancia que ayudó a los acosadores a robar información privada», añadiendo que el software espía estaba oculto a los propietarios de los dispositivos, pero completamente expuesto a los hackers debido a la «seguridad descuidada de la empresa».
Los Argumentos de Zuckerman y la Evidencia Histórica
En su petición, Zuckerman argumentó que los requisitos de seguridad impuestos por la FTC dificultaban la gestión de sus otros negocios debido a los costos financieros. Afirmó que Support King ya no estaba operativo y que sus actividades actuales se limitaban a un restaurante y proyectos turísticos en Puerto Rico. Sin embargo, Zuckerman declinó hacer comentarios y refirió las preguntas a su abogado.
La prohibición de la FTC se originó en un incidente de 2018, cuando un investigador de seguridad descubrió una base de datos de Amazon S3 perteneciente a SpyFone que exponía información extremadamente sensible, incluyendo selfies, mensajes de texto, conversaciones de aplicaciones de chat, grabaciones de audio, contactos, ubicación, contraseñas cifradas e inicios de sesión. Los datos expuestos incluían información de miles de teléfonos en los que se había instalado el stalkerware de SpyFone.
Menos de un año después de la orden de la FTC de 2021, informes previos de TechCrunch ya sugerían que Zuckerman podría estar operando otro negocio de stalkerware. En 2022, se recibió información de datos comprometidos de la aplicación de stalkerware SpyTrac, revelando vínculos directos entre SpyTrac y Support King, lo que indicaba un posible intento de eludir la prohibición de la FTC. Los datos incluían registros de SpyFone, que Zuckerman debía haber eliminado, y claves de acceso a almacenamiento en la nube de OneClickMonitor, otra de sus aplicaciones de stalkerware.
Reacciones y Conclusiones
Eva Galperin, experta en stalkerware y directora de ciberseguridad en la Electronic Frontier Foundation, celebró la decisión de la FTC. Señaló que Zuckerman probablemente esperaba que el tiempo hiciera olvidar las razones detrás de la prohibición. La revelación de TechCrunch en 2022 sobre la presunta violación de la prohibición por parte de Zuckerman «sugiere que Zuckerman no aprendió la lección», añadió Galperin.
Las aplicaciones de stalkerware permiten a los usuarios espiar de forma encubierta los dispositivos de sus seres queridos. A lo largo de los años, numerosas empresas de stalkerware han sufrido hackeos o han dejado expuestos datos sensibles, lo que pone de manifiesto una falla recurrente en la protección de la privacidad tanto de los clientes como de las personas espiadas.