Apple y Meta Platforms, la empresa matriz de Facebook, proporcionaron datos de clientes a los piratas informáticos que se hacían pasar por funcionarios encargados de hacer cumplir la ley, según tres personas con conocimiento del asunto.
Apple y Meta proporcionaron los detalles básicos del suscriptor, como la dirección, el número de teléfono y la dirección IP de un cliente, a mediados de 2021 en respuesta a las «solicitudes de datos de emergencia» falsificadas. Normalmente, dichas solicitudes solo se proporcionan con una orden de registro o citación firmada por un juez, según la gente. Sin embargo, las solicitudes de emergencia no requieren una orden judicial.
Snap recibió una solicitud legal falsificada de los mismos piratas informáticos, pero no se sabe si la empresa matriz de Snapchat proporcionó datos en respuesta. Tampoco está claro cuántas veces las empresas proporcionaron datos motivados por solicitudes legales falsificadas.
Los investigadores de ciberseguridad sospechan que algunos de los hackers que envían las solicitudes falsificadas son menores ubicados en el Reino Unido y los EE. UU. También se cree que uno de los menores es el cerebro detrás del grupo de ciberdelincuencia Lapsus$, que hackeó Microsoft, Samsung Electronics y Nvidia, entre otros, dijo la gente. La policía de la City de Londres arrestó recientemente a siete personas en relación con una investigación sobre el grupo de piratería Lapsus$; la investigación está en curso.
Un representante de Apple remitió a Bloomberg News a una sección de sus directrices de aplicación de la ley.
Las directrices a las que hace referencia Apple dicen que un supervisor del gobierno o del agente de aplicación de la ley que envió la solicitud «puede ser contactado y pedirle que confirme a Apple que la solicitud de emergencia era legítima», afirma la directriz de Apple.
«Revisamos cada solicitud de datos para la suficiencia legal y utilizamos sistemas y procesos avanzados para validar las solicitudes de aplicación de la ley y detectar abusos», dijo el portavoz de Meta, Andy Stone, en un comunicado. «Ehemos que las cuentas comprometidas conocidas no hagan solicitudes y trabajamos con las fuerzas del orden para responder a incidentes que involucran sospechas de solicitudes fraudulentas, como hemos hecho en este caso».
Snap no hizo ningún comentario inmediato sobre el caso, pero un portavoz dijo que la empresa cuenta con salvaguardias para detectar solicitudes fraudulentas de las fuerzas del orden.
Las fuerzas del orden de todo el mundo piden de forma rutinaria a las plataformas de redes sociales información sobre los usuarios como parte de las investigaciones penales. En los EE. UU., dichas solicitudes suelen incluir una orden firmada de un juez. Las solicitudes de emergencia están destinadas a ser utilizadas en casos de peligro inminente y no requieren que un juez las firme.
Se cree que los hackers afiliados a un grupo de ciberdelincuencia conocido como «Equipo de Recursión» están detrás de algunas de las solicitudes legales falsificadas, que se enviaron a las empresas a lo largo de 2021, según las tres personas que están involucradas en la investigación.
El equipo de recursiones ya no está activo, pero muchos de sus miembros siguen llevando a cabo hacks con diferentes nombres, incluso como parte de Lapsus$, dijo la gente.
La información obtenida por los piratas informáticos utilizando las solicitudes legales falsificadas se ha utilizado para permitir campañas de acoso, según una de las personas familiarizadas con la investigación. Las tres personas dijeron que podría utilizarse principalmente para facilitar los esquemas de fraude financiero. Al conocer la información de la víctima, los piratas informáticos podrían utilizarla para ayudar a intentar eludir la seguridad de la cuenta.
Las solicitudes legales fraudulentas forman parte de una campaña de meses de duración dirigida a muchas empresas de tecnología y comenzó ya en enero de 2021, según dos de las personas. Se cree que las solicitudes legales falsificadas se envían a través de dominios de correo electrónico hackeados pertenecientes a organismos encargados de hacer cumplir la ley en varios países, según las tres personas y una persona adicional que investiga el asunto.
Las solicitudes falsificadas parecían legítimas. En algunos casos, los documentos incluían las firmas falsificadas de agentes del orden reales o ficticios, según dos de las personas. Al comprometer los sistemas de correo electrónico de las fuerzas del orden, los piratas informáticos pueden haber encontrado solicitudes legales legítimas y haberlas utilizado como plantilla para crear falsificaciones, según una de las personas.
«En todos los casos en los que estas empresas se equivocaron, en el núcleo había una persona que intentaba hacer lo correcto», dijo Allison Nixon, directora de investigación de la empresa cibernética Unit 221B. «No puedo decirte cuántas veces los equipos de confianza y seguridad han salvado vidas en silencio porque los empleados tenían la flexibilidad legal para responder rápidamente a una trágica situación que se desarrolla para un usuario».
El martes, Krebs on Security informó de que los piratas informáticos habían falsificado una solicitud de datos de emergencia para obtener información de la plataforma de redes sociales Discord. En una declaración a Bloomberg, Discord confirmó que también había cumplido una solicitud legal falsificada.
«Verificamos estas solicitudes comprobando que provienen de una fuente genuina, y lo hicimos en este caso», dijo Discord en un comunicado. «Si bien nuestro proceso de verificación confirmó que la propia cuenta de aplicación de la ley era legítima, más tarde nos enteramos de que había sido comprometida por un actor malicioso. Desde entonces, hemos llevado a cabo una investigación sobre esta actividad ilegal y hemos notificado a las fuerzas del orden sobre la cuenta de correo electrónico comprometida».
Apple y Meta publican datos sobre su cumplimiento de las solicitudes de datos de emergencia. De julio a diciembre de 2020, Apple recibió 1162 solicitudes de emergencia de 29 países. Según su informe, Apple proporcionó datos en respuesta al 93 % de esas solicitudes.
Meta dijo que recibió 21.700 solicitudes de emergencia de enero a junio de 2021 en todo el mundo y proporcionó algunos datos en respuesta al 77 % de las solicitudes.
«En situaciones de emergencia, las fuerzas del orden pueden presentar solicitudes sin proceso legal», afirma Meta en su sitio web. «En función de las circunstancias, podemos revelar voluntariamente información a las fuerzas del orden cuando tengamos una razón de buena fe para creer que el asunto implica un riesgo inminente de lesiones físicas graves o de muerte».
Los sistemas para solicitar datos a las empresas son un mosaico de diferentes direcciones de correo electrónico y portales de la empresa. Cumplir con las solicitudes legales puede ser complicado porque hay decenas de miles de agencias diferentes de aplicación de la ley, desde pequeños departamentos de policía hasta agencias federales, en todo el mundo. Las diferentes jurisdicciones tienen diferentes leyes relativas a la solicitud y divulgación de datos de usuario.
«No hay un solo sistema o sistema centralizado para enviar estas cosas», dijo Jared Der-Yeghiayan, director de la firma de ciberseguridad Recorded Future y ex jefe del programa cibernético del Departamento de Seguridad Nacional. «Cada agencia los maneja de manera diferente».
Empresas como Meta y Snap operan sus propios portales para que las fuerzas del orden envíen solicitudes legales, pero aún así aceptan solicitudes por correo electrónico y supervisan las solicitudes las 24 horas del día, dijo Der-Yeghiayan.
Comprometer los dominios de correo electrónico de las fuerzas del orden en todo el mundo es en algunos casos relativamente simple, ya que la información de inicio de sesión de estas cuentas está disponible para la venta en los mercados penales en línea.
«Las tiendas subterráneas de la web oscura contienen cuentas de correo electrónico comprometidas de las agencias de aplicación de la ley, que podrían venderse con las cookies y metadatos adjuntos por entre 10 y 50 dólares», dijo Gene Yoo, CEO de la firma de ciberseguridad Resecurity, Inc.
Yoo dijo que varias agencias de aplicación de la ley fueron atacadas el año pasado como resultado de vulnerabilidades previamente desconocidas en los servidores de correo electrónico de Microsoft Exchange, «lo que llevó a nuevas intrusiones».
Será difícil encontrar una posible solución para el uso de solicitudes legales falsificadas enviadas desde sistemas de correo electrónico de aplicación de la ley hackeados, dijo Nixon, de la Unidad 221B.
«La situación es muy compleja», dijo. “Arreglarlo no es tan sencillo como cerrar el flujo de datos. Hay muchos factores que tenemos que considerar más allá de maximizar la privacidad».
Esta historia se publicó originalmente en bloomberg.com. Léelo aquí.
QAnons España 