Apple, Facebook, Discord y Snap compartieron los datos de sus usuarios con hackers… por error

Si bien a simple vista parece que estamos hablando del guion de una comedia de espías, por desgracia se trata de la realidad. Y es que grandes empresas como Apple, Facebook, Snap y Discord habrían compartido algunos datos personales de sus usuarios, por error, después de que un grupo de hackers simplemente se los pidiese.

Aunque en realidad esto no es más que una gran síntesis. En realidad, tal y como explican desde Bloomberg, los perpetradores usaron algunos correos electrónicos, previamente pirateados, vinculados a personal legítimo de las fuerzas del orden, pudiendo así engañar con éxito a las empresas para que estas entregasen los datos sin mayor sospecha.

Y es que no es raro que empresas como Apple y Facebook reciban peticiones de este tipo por parte de las fuerzas del orden, contando incluso con equipos íntegramente dedicados a responder a estas solicitudes. Unas peticiones que aunque por norma suelen ir acompañadas de una orden judicial, suelen presentarse también bajo casos de «emergencia» en los que las fuerzas del orden solicitan algunos datos sin la necesidad de aportar ningún documento.

De hecho, parte del problema viene, tal y como explicaba Jared Der-Yeghiayan, director de la firma de seguridad cibernética Recorded Future Inc. y exlíder del programa cibernético en el Departamento de Seguridad Nacional de que “no existe un sistema o un sistema centralizado para enviar estas cosas […] Cada agencia los maneja de manera diferente”.

Táctica de la que se aprovecharon los piratas informáticos, que se habrían hecho pasar por diferentes fuerzas del orden para solicitar la información personal sobre algunos usuarios específicos con el objetivo de «facilitar esquemas de fraude financiero».

El portavoz de Meta, Andy Stone, dijo que la empresa cuenta con medidas de seguridad para verificar las solicitudes legales y detectar abusos. “Bloqueamos las cuentas comprometidas conocidas para que no realicen solicitudes y trabajamos con las fuerzas del orden público para responder a incidentes relacionados con solicitudes fraudulentas sospechosas, como lo hemos hecho en este caso”, dijo Stone.

Por su parte, Apple y Snap también señalaron las pautas de la compañía y dijeron que tienen políticas para verificar la legitimidad de las solicitudes de datos de los usuarios. Pero estas salvaguardas pueden fallar si las solicitudes parecen provenir de correos electrónicos asociados con agencias legítimas de aplicación de la ley.

Adicionalmente, un portavoz de Discord aseguraba que “Podemos confirmar que Discord recibió solicitudes de un dominio legítimo de aplicación de la ley y cumplió con las solicitudes de acuerdo con nuestras políticas. Verificamos estas solicitudes verificando que provengan de una fuente genuina, y así lo hicimos en este caso. Si bien nuestro proceso de verificación confirmó que la cuenta de las fuerzas del orden era legítima, más tarde supimos que había sido comprometida por un actor malintencionado. Desde entonces, llevamos a cabo una investigación sobre esta actividad ilegal y notificamos a las fuerzas del orden sobre la cuenta de correo electrónico comprometida”.

Así pues, aunque por el momento no se ha podido confirmar, los investigadores de seguridad parecen estar apuntando que algunas de las personas involucradas en este ataque serían componentes del ya conocido grupo Lapsus$, protagonista de algunos de los últimos grandes episodios.