Apple y Meta entregaron datos de usuarios a piratas informáticos que utilizaron solicitudes legales falsificadas y comprometieron los correos electrónicos de las fuerzas del orden, según personas con conocimiento del asunto.
Los datos fueron utilizados para permitir el acoso y podrían ayudar a cometer fraudes financieros.
Las compañías proporcionaron datos de clientes a piratas informáticos que se hicieron pasar por funcionarios encargados de hacer cumplir la ley, de acuerdo con los informantes.
A mediados de 2021, Apple y Meta proporcionaron detalles básicos del suscriptor, como la dirección, el número de teléfono y la dirección IP del cliente, en respuesta a las solicitudes de datos de emergencia falsificadas.
Normalmente, tales solicitudes solo se entregan con una orden de allanamiento o citación firmada por un juez, según las personas. Sin embargo las solicitudes de emergencia no requieren de una orden judicial.
Snap Inc. recibió una solicitud legal falsificada de los mismos piratas informáticos, pero no se sabe si la empresa proporcionó los datos en respuesta.
Tampoco está claro cuántas veces las empresas proporcionaron datos por solicitudes legales falsificadas.
Los investigadores de seguridad cibernética sospechan que algunos de los piratas informáticos que envían las solicitudes falsificadas son menores ubicados en el Reino Unido y Estados Unidos.
La policía de la ciudad de Londres arrestó recientemente a siete personas en relación con una investigación sobre el grupo de hackers Lapsus$; la investigación está en curso.
Un representante de Apple refirió a Bloomberg News a una sección de sus pautas de aplicación de la ley, las cuales dicen que un supervisor del gobierno o agente de la ley que presentó la solicitud ‘puede ser contactado y se le pedirá que confirme a Apple que la solicitud de emergencia era legítima’.
Las fuerzas del orden de todo el mundo solicitan habitualmente a las plataformas de redes sociales información sobre los usuarios como parte de las investigaciones criminales.
En Estados Unidos, dichas solicitudes suelen incluir una orden firmada por un juez.
Las solicitudes de emergencia están destinadas a ser utilizadas en casos de peligro inminente y no requieren de un juez que las apruebe.
La información obtenida por los piratas informáticos utilizando las solicitudes legales falsificadas se han manejado para habilitar campañas de acoso, según una de las personas familiarizadas con la investigación.
‘Será difícil encontrar una solución potencial para el uso de solicitudes legales falsificadas enviadas desde el sistema de correo electrónico pirateados de las fuerzas del orden’, dijo Alison Nixon, directora de investigación de la firma cibernética Unit 221B.
‘La situación es muy compleja, arreglarlo no es tan simple como cerrar el flujo de datos. Hay muchos factores que tenemos que considerar más allá de maximizar la privacidad’, añadió Nixon.