El año pasado, Meta , la empresa matriz de Facebook, Apple y Discord entregaron datos básicos de sus suscriptores como dirección, número telefónico y dirección IP a hackers que se hicieron pasar por funcionarios que enviaban las solicitudes desde correos institucionales.
El Político
Snap Inc., propietaria de Snapchat, también recibió una solicitud falsificada, pero no aclara si envió información.
Las solicitudes fueron de “emergencia” , de acuerdo con la investigación realizada por Bloomberg, y por tanto, no requerían la orden de un juez.
Hackers se hacen pasar por policias
Estas solicitudes se realizan de forma habitual a las plataformas de las redes sociales por parte de la policía cibernética para detener intentos de extorsión, la flexibilidad de respuesta de los empleados han sido vitales para, incluso, salvar vidas.
El problema es que los hackers encontraron una forma de vulnerar este mecanismo, según da a conocer el portal Tecreview.tec.mx.
Las solicitudes legales falsificadas se envían a través de dominios de correo electrónico pirateados que pertenecen a las agencias de aplicación de la ley en varios países e incluyen las firmas de agentes de la ley, reales o ficticios.
La policía de ciberseguridad sospecha que los responsables de estos delitos son menores de edad que envían las solicitudes desde Estados Unidos y el Reino Unido , quienes una vez que obtienen los datos de los usuarios, los utilizan para realizar fraudes financieros.
Se cree que uno de los cerebros que están detrás es el grupo Lapsus$, que hackeó Microsoft Corp., Samsung Electronics Co. y Nvidia Corp. , entre otros.
Otro sospechoso es Recursion Team , aunque ya no está activo, muchos de sus miembros continúan hackeando bajo diferentes pseudónimos.
Snap y Discord
Snap Inc., propietaria de Snapchat , recibió una solicitud legal falsificada de los mismos piratas informáticos, pero no se sabe si la compañía presentó datos en respuesta.
Un portavoz de la compañía asegura que al interior tienen mecanismos para detectar solicitudes fraudulentas que supuestamente provengan de la policía.
Discord, una plataforma que permite a los jugadores comunicarse en chats privados, debe haber cumplido con una solicitud legal falsificada.
“Desde entonces, hemos llevado a cabo una investigación sobre esta actividad ilegal y hemos notificado a la policía sobre la cuenta de correo electrónico comprometida”, según un comunicado.
La respuesta de Meta y Apple
En la investigación realizada por Bloomberg no se especifican las veces que las incluidas mejoraron los datos de los usuarios a las solicitudes falsificadas en 2021.
Meta informa que recibió 21.700 solicitudes de emergencia de enero a junio de 2021 a nivel mundial y envió algunos datos en respuesta al 77% de las solicitudes.
Apple recibió de julio a diciembre de 2020, 1.162 solicitudes de emergencia de 29 países, y respondió un 93% de ellas.
“La situación es muy compleja. Arreglarlo no es tan simple como cerrar el flujo de datos. Hay muchos factores que tenemos que considerar más allá de maximizar únicamente la privacidad”, agregó Allison Nixon , directora de investigación de la firma cibernética Unit 221B.
