Una importante vulnerabilidad de seguridad en la operación de Spyware de Android CatMathful ha expuesto la base de datos completa de más de 62,000 cuentas de clientes, incluidas las contraseñas de texto sin formato y las direcciones de correo electrónico, según un investigador de seguridad que descubrió la violación en junio de 2025.
El investigador canadiense de ciberseguridad Eric Daigle descubrió la vulnerabilidad a través de un ataque de inyección SQL que le permitió extraer toda la base de datos de usuarios del servicio de Stalkerware.
La violación también expuso datos de aproximadamente 26,000 víctimas cuyos teléfonos estaban siendo monitoreados sin su conocimiento.
Defecto de seguridad crítica en el spyware “indetectable”
Catwatchful se comercializó como un software de vigilancia completamente invisible, que se jactan de que “no puede ser detectado” y “no puede desinstalarse”. Sin embargo, el backend del servicio resultó mucho menos seguro de lo que sugirieron sus reclamos de marketing.
La vulnerabilidad surgió de un punto final de API PHP no autenticado que era susceptible a los ataques de inyección SQL. A pesar de operar una arquitectura híbrida utilizando la plataforma Firebase de Google para almacenar datos de víctimas robados, Catwatchful mantuvo una base de datos MySQL separada que contenía credenciales de usuario que carecían de protecciones de seguridad básicas.
Catwatchful Expone credenciales
La base de datos filtrada reveló que Catwatchful había estado operando desde al menos 2018, con víctimas ubicadas principalmente en México, Colombia, India, Perú, Argentina, Ecuador y Bolivia.
El spyware recopiló datos personales completos, incluidas fotos, mensajes de texto, registros de llamadas, datos de ubicación y podría activar de forma remota cámaras y micrófonos de dispositivos.
La violación también expuso la identidad del administrador de la operación, Omar Soca Charcov, un desarrollador con sede en Uruguay que no respondió a las solicitudes de divulgación de los periodistas.
La observación de gatos empleó un sofisticado sistema de doble servidor. La creación de la cuenta activada por el registro del usuario tanto en Google Firebase como en una base de datos personalizada alojada en CatWatchful.pink. Si bien Firebase proporcionó una seguridad robusta para almacenar datos de víctimas, el servidor personalizado que maneja la autenticación de usuarios era completamente vulnerable.
Duende descubierto que las llamadas API del servicio no fueron completamente no autenticadas, lo que permite a cualquier persona acceder a la información del dispositivo utilizando parámetros simples.
Cuando probó las vulnerabilidades de inyección SQL utilizando herramientas automatizadas, identificó con éxito los puntos de inyección ciegos y sindicales basados en el tiempo que permitieron la extracción completa de la base de datos.
Este incidente representa la quinta incumplimiento de Stalkerware importante solo en 2025, destacando las fallas de seguridad sistémicas en toda la industria del software de vigilancia. Las infracciones anteriores han expuesto millones de registros de víctimas de servicios como SPYX, Cocospy, Spyic y Spyzie.
El patrón revela que si bien estos servicios recopilan datos personales altamente sensibles, constantemente no implementan medidas básicas de seguridad cibernética para proteger a sus clientes o víctimas.
Después de la divulgación responsable, TechCrunch contactó a varios proveedores de servicios. La compañía de alojamiento suspendió temporalmente Catwatchful, aunque el servicio luego emigró a Hostgator. Google agregó Catwatchful a su sistema de detección de Play Protect, pero aún no ha deshabilitado la instancia de Firebase que almacena datos de víctimas.
Los expertos en seguridad señalan que los usuarios de Android pueden detectar Catwatchful marcando “543210” en su dispositivo, lo que desencadena una puerta trasera incorporada que revela la aplicación oculta.
Las credenciales expuestas se han agregado al Servicio de notificación de violación de Have Have Pwned, lo que permite a los usuarios afectados verificar si sus cuentas estaban comprometidas.
Esta violación destaca los riesgos inherentes asociados con las operaciones de Stalkerware, lo que ilustra que estas herramientas de vigilancia ilícitas representan una amenaza tanto para los perpetradores como para las víctimas debido a prácticas de seguridad inadecuadas y medidas de protección de datos insuficientes.
Investigue el comportamiento de malware en vivo, rastree cada paso de un ataque y tome decisiones de seguridad más rápidas y inteligentes -> Prueba cualquiera.
