FTC ratifica prohibición a Scott Zuckerman y sus empresas de stalkerware

La Comisión Federal de Comercio mantiene la veda contra el creador de software espía

La Comisión Federal de Comercio (FTC) de Estados Unidos ha denegado la solicitud de Scott Zuckerman, fundador de la empresa de spyware Support King y sus subsidiarias SpyFone y OneClickMonitor, para cancelar la prohibición que le impide operar en la industria de la vigilancia. Este lunes, la agencia anunció la decisión después de que Zuckerman pidiera en julio de este año que se rescindiera o modificara la orden.

Prohibición histórica y violación de datos

En 2021, la FTC prohibió a Zuckerman “ofrecer, promover, vender o publicitar cualquier aplicación, servicio o negocio de vigilancia”, efectivamente evitando que dirigiera otro negocio de stalkerware. La orden también obligó a Zuckerman a eliminar todos los datos recopilados por SpyFone y a implementar auditorías frecuentes y prácticas de ciberseguridad.

La prohibición surgió tras un incidente en 2018, cuando un investigador de seguridad encontró un bucket de Amazon S3 de SpyFone que dejó expuestos en línea datos extremadamente sensibles, incluyendo selfies, mensajes de texto, chats, grabaciones de audio, contactos, ubicaciones, contraseñas hash y más. Los datos expuestos incluían 44,109 direcciones de correo electrónico únicas y información de 3,666 teléfonos que tenían instalado el stalkerware.

Intento de revocación y aparente incumplimiento

En su petición, Zuckerman argumentó que los requisitos de seguridad de la orden de la FTC han dificultado la operación de sus otros negocios debido a los costos financieros. Afirmó que Support King ya no está en funcionamiento y que ahora solo dirige un restaurante y planea “empresas turísticas” en Puerto Rico.

Sin embargo, menos de un año después de la orden de 2021, se reveló que Zuckerman parecía estar dirigiendo otra empresa de stalkerware llamada SpyTrac. En 2022, datos vulnerados de SpyTrac mostraron vínculos directos con Support King, en lo que parecía un intento de eludir la prohibición de la FTC. Los datos incluían registros de SpyFone, que Zuckerman debía eliminar, y claves para acceder al almacenamiento en la nube de OneClickMonitor.

Reacción de expertos en ciberseguridad

“El Sr. Zuckerman claramente esperaba que si se mantenía bajo perfil por unos años, todos olvidarían las razones por las que la FTC emitió una prohibición no solo contra la empresa, sino contra él específicamente”, dijo Eva Galperin, directora de ciberseguridad de la Electronic Frontier Foundation.

Galperin, una experta prominente en stalkerware, añadió que la revelación de 2022 sugiere que “Zuckerman no aprendió la lección”.

El problema recurrente del stalkerware

Las aplicaciones de stalkerware permiten a sus clientes espiar subrepticiamente los teléfonos y dispositivos de sus seres queridos. Además de habilitar actividades potencialmente ilegales, en los últimos ocho años, al menos 26 empresas de stalkerware han sido hackeadas o han dejado datos sensibles expuestos en línea. Estos incidentes repetidos demuestran que estas empresas han fallado constantemente en proteger la privacidad tanto de sus clientes como de las personas espiadas.

La decisión de la FTC refuerza su compromiso de actuar contra las prácticas de vigilancia invasivas y las fallas de seguridad que ponen en riesgo a miles de personas.