Apple y Meta entregaron datos de usuarios a hackers con documentos falsificados

Proporcionaron detalles de suscriptores como su dirección, número de teléfono y dirección IP en respuesta a las falsas “solicitudes de datos de emergencia”

El logo de Apple, iluminado en una tienda de Michigan
Por William Turton
30 de marzo, 2022 | 03:18 PM
Últimas cotizaciones

Bloomberg — Apple Inc. (AAPL) y Meta Platforms Inc. (FB), la empresa matriz de Facebook, proporcionaron datos de clientes a piratas informáticos que se hicieron pasar por agentes de la ley, según tres personas con conocimiento del asunto.

Apple y Meta proporcionaron detalles básicos de los suscriptores, como la dirección del cliente, el número de teléfono y la dirección IP a mediados de 2021 en respuesta a las falsas “solicitudes de datos de emergencia”. Normalmente, este tipo de solicitudes sólo se facilitan con una orden de registro o una citación firmada por un juez, según estas personas. Sin embargo, estas solicitudes de emergencia no requieren una orden judicial.

Snap Inc. (SNAP) recibió una solicitud legal falsa de los mismos hackers, pero no se sabe si proporcionó datos en respuesta. Tampoco está claro cuántas veces las empresas proporcionaron datos en respuesta a solicitudes legales falsas.

PUBLICIDAD

En respuesta a una solicitud de comentarios, un representante de Apple remitió a Bloomberg News a una sección de sus directrices de aplicación de la ley.

Las directrices a las que hace referencia Apple dicen que un supervisor del gobierno o agente de la ley que presentó la solicitud “puede ser contactado y se le pedirá que confirme a Apple que la solicitud de emergencia era legítima”.

Revisamos cada solicitud de datos para comprobar su legalidad y utilizamos sistemas y procesos avanzados para validar las solicitudes de las fuerzas del orden y detectar abusos”, dijo el portavoz de Meta, Andy Stone, en un comunicado. “Bloqueamos las cuentas comprometidas conocidas para que no realicen solicitudes y trabajamos con las fuerzas de seguridad para responder a incidentes relacionados con solicitudes presuntamente fraudulentas, como hemos hecho en este caso”.

PUBLICIDAD

Snap no hizo comentarios inmediatos sobre el caso, pero un portavoz dijo que la compañía tiene salvaguardias para detectar las solicitudes fraudulentas de las fuerzas del orden.

Las fuerzas del orden de todo el mundo solicitan habitualmente a las plataformas de redes sociales información sobre los usuarios como parte de investigaciones penales. En Estados Unidos, estas solicitudes suelen incluir una orden firmada por un juez. Las solicitudes de emergencia están pensadas para ser utilizadas en casos de peligro inminente y no requieren la firma de un juez.

VER +
Apple trabaja en un servicio de suscripción de hardware para iPhones

Se cree que piratas informáticos afiliados a un grupo de ciberdelincuentes conocido como “Recursion Team” están detrás de algunas de las solicitudes legales falsificadas, que se enviaron a empresas a lo largo de 2021, según las tres personas que participan en la investigación.

Los investigadores de ciberseguridad sospechan que algunos de los piratas informáticos que enviaron las solicitudes falsificadas son menores de edad ubicados en el Reino Unido y los Estados Unidos. Se cree que uno de los menores es el cerebro del grupo de ciberdelincuencia Lapsus$, que hackeó a Microsoft Corp (MSFT), Samsung Electronics Co. (005930) y Nvidia Corp. (NVDA) entre otros, dijeron las personas.

Recursion Team ya no está activo, pero muchos de sus miembros siguen realizando hackeos bajo diferentes nombres, incluso como parte de Lapsus$, dijeron las personas.

La información obtenida por los piratas informáticos utilizando las solicitudes legales falsificadas se ha utilizado para facilitar campañas de acoso, según una de las personas familiarizadas con la investigación. Las tres personas dijeron que podría utilizarse principalmente para facilitar esquemas de fraude financiero. Al conocer los datos de la víctima, los hackers podrían utilizarlos para intentar burlar la seguridad de las cuentas.

Bloomberg omite algunos detalles específicos de los hechos para proteger las identidades de los afectados.

Las solicitudes legales fraudulentas forman parte de una campaña de meses de duración dirigida a muchas empresas tecnológicas y que comenzó ya en enero de 2021, según dos de las personas. Se cree que las solicitudes legales falsas se envían a través de dominios de correo electrónico pirateados que pertenecen a organismos policiales de varios países, según las tres personas y otra persona que investiga el asunto.

PUBLICIDAD
VER +
Tras hackear a MercadoLibre, Lapsus$ filtró información del unicornio Globant

Las solicitudes falsificadas se hicieron para que parecieran legítimas. En algunos casos, los documentos incluían las firmas falsas de agentes de la ley reales o ficticios, según dos de las personas. Al comprometer los sistemas de correo electrónico de las fuerzas del orden, los piratas informáticos pueden haber encontrado solicitudes legales legítimas y haberlas utilizado como plantilla para crear falsificaciones, según una de las personas.

“En todos los casos en los que estas empresas metieron la pata, en el fondo había una persona tratando de hacer lo correcto”, dijo Allison Nixon, jefe de investigación de la empresa cibernética Unit 221B. “No puedo decir cuántas veces los equipos de confianza y seguridad han salvado vidas silenciosamente porque los empleados tenían la flexibilidad legal para responder rápidamente a una situación trágica que se desarrollaba para un usuario”.

El martes, Krebs on Security informó que los piratas informáticos habían falsificado una solicitud de datos de emergencia para obtener información de la plataforma Discord. En una declaración a Bloomberg, Discord confirmó que también había cumplido con una solicitud legal falsificada.

“Verificamos estas solicitudes comprobando que provienen de una fuente genuina, y así lo hicimos en este caso”, dijo Discord en un comunicado. “Aunque nuestro proceso de verificación confirmó que la cuenta de las fuerzas del orden en sí era legítima, más tarde supimos que había sido comprometida por un actor malicioso. Desde entonces hemos llevado a cabo una investigación sobre esta actividad ilegal y hemos notificado a las fuerzas del orden sobre la cuenta de correo electrónico comprometida.”

PUBLICIDAD

Tanto Apple como Meta publican datos sobre su cumplimiento de las solicitudes de datos de emergencia. Entre julio y diciembre de 2020 Apple recibió 1.162 solicitudes de emergencia de 29 países. Según su informe, Apple proporcionó datos en respuesta al 93% de esas solicitudes.

Meta dijo que recibió 21.700 solicitudes de emergencia de enero a junio de 2021 a nivel mundial y proporcionó algunos datos en respuesta al 77% de las solicitudes.

“En casos de emergencia, las fuerzas del orden pueden presentar solicitudes sin proceso legal”, afirma Meta en su página web. “En función de las circunstancias, podemos revelar voluntariamente información a las fuerzas del orden cuando tengamos una razón de buena fe para creer que el asunto implica un riesgo inminente de lesiones físicas graves o de muerte”.