Apple y Meta (Facebook), dos de las compañías tecnológicas más grandes del mundo, compartieron información privada de sus usuarios, como direcciones, números de teléfono y direcciones IP, a hackers que se hicieron pasar por agentes de policía, según ha informado Bloomberg, quien ha tenido acceso a detalles de la investigación en curso. Las dos empresas cayeron en la trampa a mediados de 2021, al pensar que la "solicitud de datos de emergencia" enviada por los ciberdelincuentes era real.
La solicitud de datos de emergencia (EDR, por sus siglas en inglés) es una especie de trámite legal que pueden utilizar los agentes de seguridad con el fin de obtener la información necesaria de un usuario para poder realizar una investigación. Este tipo de solicitudes no requiere de una orden judicial, dado a que se considera de carácter urgente y se realiza, en la mayoría de casos, cuando hay una situación de vida o muerte. Apple, Meta y otras compañías se ven obligadas a compartir estos datos una vez comprueban que la solicitud es real.
Tanto Apple como Meta, de hecho, parecen tener un riguroso sistema para comprobar que el trámite es legítimo. "Revisamos cada solicitud de datos para comprobar su suficiencia legal y utilizamos sistemas y procesos avanzados para validar las solicitudes de las fuerzas del orden y detectar abusos", ha mencionado Andy Stone, portavoz de Meta, al citado medio. Pero, ¿cómo es posible que hayan proporcionado datos a una solicitud falsa?
Acepar o rechazar la solicitud, una decisión de vida o muerte
Según las investigaciones, los hackers podrían haber enviado las solicitudes de datos de emergencia falsas a través de direcciones de policía reales. Falsificando, además, las firmas de los agentes. Acceder a los sistemas internos de la policía parece una tarea sencilla para los ciberdelincuentes, y la práctica de enviar solicitudes de datos con el fin de obtener información de los usuarios es, según comenta Krebs on Security, "altamente efectiva". Principalmente, porque las compañías afectadas —como Apple y Meta, en este caso— se ven obligada a aceptar una solicitud de estas características al contemplar que la vida de una o más personas puede estar en riesgo.
No es la primera que se utiliza este método para obtener información privada de los usuarios que utilizan una plataforma. Según Bloomberg, la práctica de falsificar las "solicitudes de datos de emergencia" inició en enero de 2021, y está dirigida a una gran variedad de empresas que operan en el sector tecnológico. Snap Inc. (empresa matriz de Snapchat) también parece una de las afectadas. No obstante, no está claro si la compañía finalmente aceptó la solicitud y compartió los datos de sus usuarios con los hackers.
Aun así, Meta, Apple, y otras empresas que pueden sufrir este tipo de ataques o que ya se han visto involucradas en estafas similares, cuentan con diferentes medidas de seguridad para evitar futuros incidentes.
"Bloqueamos las cuentas comprometidas conocidas para que no realicen solicitudes y trabajamos con las fuerzas de seguridad para responder a incidentes relacionados con solicitudes presuntamente fraudulentas, como hemos hecho en este caso".
Andy Stone, portavoz de Meta
¿Quiénes están detrás del hackeo a Apple y Meta?
Todo apunta a que el ataque a Apple y Meta fue organizado por un equipo de hackers adolescentes y menores de edad ubicados en Estados Unidos y Reino Unido. El equipo se hacía llamar 'Recursion Team' cuando iniciaron con esta práctica, pero según las investigaciones, actualmente estaría disuelto.
Muchos de los integrantes ahora parecen formar parte de parte de LAPSUS$, el equipo "latinoamericano" que hackeó a Nvidia, Microsoft, Okta, Samsung o Mercado Libre. Curiosamente, la Policía de Londres detuvo hace apenas unos días a siete integrantes del grupo. Uno de ellos, el supuesto líder de LAPSUS$ y quien también podría estar involucrado en el hackeo a diferentes compañías a través de la solicitud de datos de emergencia , tiene 16 años y vive con sus padres en Oxford.