Facebook, Apple o Discord entregaron datos de sus usuarios a lo que pensaban que era una solicitud policial, pero detrás estaban los ciberdelincuentes

Las grandes compañías tecnológicas suelen colaborar en mayor o menor medida con las autoridades policiales de los distintos países en los que operan. Lo que era difícil de imaginar es que su afán por cooperar les iba a llevar a entregar datos personales de sus usuarios a 'policías' falsos.

Esto es lo que le ha ocurrido a Meta, propietaria de Facebook, y a Apple, a pesar de que el fabricante del iPhone reivindica el celo y la privacidad de sus usuarios. Según cuenta Bloomberg, ambas multinacionales compartieron detalles como la dirección postal, el número de teléfono y la dirección IP de varios de sus usuarios a instancias de unas solicitudes policiales urgentes.

Solicitudes que no eran verdaderas y que ahora los investigadores sospechan que falsificaron varios adolescentes.

Los hechos comenzarían a sucederse a mediados del año pasado e investigadores citados por Bloomberg sospechan que uno de los artífices de este incidente es uno de los jóvenes que creó el colectivo de criminales informáticos Lapsus$, aparentemente un menor de edad que vive con su madre en Reino Unido y que habría puesto en jaque a grandes tecnológicas como Microsoft o Nvidia.

De gamberradas adolescentes a complejas organizaciones criminales: así han evolucionado los ciberataques en 11 grandes golpes de la historia

De cualquier forma, lo que el incidente también revela es un grave problema en cuanto a protocolos de seguridad. Aunque muchas de estas solicitudes urgentes de datos tramitadas por autoridades policiales no requieran de una orden judicial efectiva, el hecho de que cualquiera pueda llegar y suplantar a un cuerpo policial no es nada tranquilizador para los usuarios de estas firmas.

Un representante de Apple ha aseverado a Bloombergque cuando reciben una de estas solicitudes urgentes (por ejemplo, para lograr detener a un traficante de drogas que venda en línea, o triangular la identidad de un sospechoso), un agente del cuerpo reclamante llama a la compañía para ratificar que la solicitud es real y es legítima.

"Revisamos todas las peticiones de datos y usamos sistemas avanzados para validar las reclamaciones de las autoridades y prevenir abusos", explican desde la tecnológica. "Bloqueamos las cuentas que hacen estas solicitudes que se hayan visto comprometidas para responder a incidentes y a posibles solicitudes de datos fraudulentas, como ha sido el caso".

Otras de las compañías a la que se dirigieron estos ciberdelincuentes suplantando a la policía fue Snap, propietaria de Snapchat, pero esta última no habría entregado datos. La firma ha declinado hacer comentarios a Bloomberg. Normalmente estas solicitudes se hacen a instancias de un juez, pero cuando hay un riesgo inminente, se ejecutan sin él mediante procedimientos de urgencia.

Además de al cabecilla de Lapsus$, el diario estadounidense señala a otro colectivo de ciberdelincuentes conocido como Recursion Team. Tres personas conocedoras de los pormenores de la investigación han desvelado a Bloomberg varios detalles. Uno de ellos es que la información que los criminales lograron sacar de las tecnológicas les valió para iniciar campañas de acoso contra sus víctimas.

Estas suplantaciones se habrían llevado a cabo con una cuenta de correo electrónico hackeada de las autoridades policiales. Este mismo martes, la división de seguridad de Krebs indicó que estos criminales habían solicitado datos también de usuarios de Discord. Discord comprobó que el correo era verídico y los facilitó, pero después comprobaron que se trató de una suplantación.

"Verificamos estas solicitudes revisando que proceden de una fuente genuina, e hicimos lo mismo esta vez. Aunque nuestro proceso de verificación confirmó que la cuenta de correo era legítima, después descubrimos que era una cuenta que había sido comprometida", reconocía la plataforma de chat de voz en un comunicado.

La situación que se ha producido es de alto riesgo y es fruto de un posible ataque al servicio de correos de las autoridades policiales que emiten estas solicitudes de datos. La policía española (Policía Nacional y Guardia Civil) también emite este tipo de solicitudes a las tecnológicas. En 2019, España fue el octavo país en ver sus reclamaciones policiales atendidas por Apple.

Este tipo de reclamaciones no solo se dirigen a las grandes tecnológicas, que esta vez han mordido el anzuelo de un grupo de ciberdelincuentes. También se dirigen contra plataformas alternativas como Signal o ProtonMail, que basan su modelo de negocio en la privacidad de sus usuarios.

Precisamente esta última, un servicio de correo electrónico alternativo a Gmail de Google u Outlook de Microsoft, recibió fuertes críticas el pasado verano después de que facilitaran los datos de un activista francés a las autoridades de su país. La compañía se amparó en que se trató de una orden judicial que se tramitó desde Suiza, por lo que la ley de aquel país les obligaba a atender esa demanda.