Apple y Meta, la empresa matriz de Facebook, proporcionaron datos de clientes a piratas informáticos que se hicieron pasar por funcionarios encargados del cumplimiento de la ley, según tres personas con conocimiento del asunto.
A mediados de 2021, Apple y Meta proporcionaron detalles básicos de los suscriptores, como la dirección postal, el número de teléfono y la dirección IP en respuesta a “solicitudes de datos de emergencia” falsas. Normalmente, dicha información solo se entrega con una orden de allanamiento o citación firmada por un juez, según las personas. Sin embargo, las solicitudes de información de emergencia no requieren una orden judicial.
Snap recibió una solicitud legal falsificada de los mismos hackers, pero no se sabe si proporcionó datos. Tampoco está claro cuántas veces las empresas proporcionaron datos ante solicitudes legales fraudulentas.
En respuesta a una solicitud de comentarios, un representante de Apple remitió a Bloomberg News a una sección de sus pautas de aplicación de la ley.
Las pautas a las que hace referencia Apple dicen que un supervisor del Gobierno o agente de cumplimiento de la ley que presente una solicitud “puede ser contactado y se le pedirá que confirme a Apple la legitimidad de la solicitud de emergencia”, establece la guía de Apple.
“Revisamos todas las solicitudes de datos para verificar su suficiencia legal y utilizamos sistemas y procesos avanzados para validar las solicitudes de aplicación de la ley y detectar abusos”, declaró el portavoz de Meta, Andy Stone, en un comunicado. “Bloqueamos las cuentas comprometidas conocidas para que no realicen solicitudes y trabajamos con las fuerzas del orden público para responder a incidentes relacionados con solicitudes fraudulentas sospechosas, como lo hemos hecho en este caso”.
Snap no hizo comentarios inmediatos sobre el caso, pero un portavoz dijo que la compañía tiene medidas de seguridad para detectar solicitudes fraudulentas de las fuerzas del orden.
Las fuerzas del orden de todo el mundo solicitan habitualmente a las plataformas de redes sociales información sobre los usuarios como parte de las investigaciones criminales. En Estados Unidos, tales solicitudes suelen incluir una orden firmada por un juez. Sin embargo, las solicitudes de información de emergencia están destinadas a ser utilizadas en casos de peligro inminente y no requieren que un juez las apruebe.
Se cree que los piratas informáticosafiliados a un grupo de ciberdelincuencia conocido como “Recursion Team” están detrás de algunas de las solicitudes legales falsificadas, que se enviaron a las empresas a lo largo de 2021, según las tres personas involucradas en la investigación.
Los investigadores de seguridad cibernética sospechan que algunos de los piratas informáticos que envían las solicitudes falsificadas son menores de edad localizados en el Reino Unido y Estados Unidos. También se cree que uno de los menores es el cerebro detrás del grupo de delitos cibernéticos Lapsus$, que hackeó a Microsoft, Samsung y Nvidia, entre otros, según las personas.
Recursion Team ya no está activo, pero muchos de sus miembros continúan realizando delitos informáticos bajo diferentes nombres, incluso como parte de Lapsus$, señalaron las personas.
La información obtenida por los piratas informáticos utilizando las solicitudes legales falsificadas ha sido usada para habilitar campañas de acoso, según una de las personas familiarizadas con la investigación. Las tres personas dijeron que pueden usarse principalmente para facilitar esquemas de fraude financiero. Al conocer la información de la víctima, los piratas informáticos podrían usarla para intentar eludir la seguridad de la cuenta.
Bloomberg está omitiendo algunos detalles específicos de los eventos para proteger las identidades de los objetivos.
Apple y Meta publican datos sobre su cumplimiento con las solicitudes de datos de emergencia. De julio a diciembre de 2020, Apple recibió mil 162 solicitudes de emergencia de 29 países. Según su informe, Apple proporcionó datos en respuesta al 93 por ciento de esas solicitudes.
Meta reportó que recibió 21 mil 700 solicitudes de emergencia de enero a junio de 2021 a nivel mundial y proporcionó algunos datos en respuesta al 77 por ciento de las solicitudes.
“En emergencias, las fuerzas del orden pueden presentar solicitudes sin proceso legal”, afirma Meta en su sitio web. “Según las circunstancias, podemos divulgar voluntariamente información a las fuerzas del orden cuando tengamos una razón de buena fe para creer que el asunto implica un riesgo inminente de lesiones físicas graves o la muerte”.
Los sistemas de solicitud de datos a empresas son un mosaico de diferentes direcciones de correo electrónico y portales de empresa. Cumplir con las solicitudes legales puede ser complicado porque hay decenas de miles de agencias de aplicación de la ley diferentes, desde pequeños departamentos de policía hasta agencias federales, en todo el mundo. Las diferentes jurisdicciones tienen diferentes leyes con respecto a la solicitud y divulgación de datos de los usuarios.