Hackers criminales engañaron a Apple y Meta para obtener información confidencial de sus usuarios. Según un reportaje de Bloomberg (opens in new tab), tanto Meta (la empresa matriz de Facebook) como Apple cayeron como primos ante una red que se hacía pasar por policías desde cuentas de correo oficiales usadas ilegalmente. El asunto es grave porque ambas empresas compartieron direcciones IP, números de teléfono y los domicilios de sus usuarios sin rechistar.
Además de Meta y Apple, Snap y Discord también fueron del ataque. Sin embargo, no está claro si estas empresas cayeron en la estafa o no.
Snap y Discord también fueron atacadas
El director de políticas y comunicaciones de Meta, Andy Stone, dijo a The Verge (opens in new tab) que la compañía revisa cada solicitud de datos para comprobar su legalidad y utiliza "sistemas y procesos avanzados" para validar las solicitudes de las fuerzas de seguridad y detectar abusos.
"Bloqueamos las cuentas comprometidas conocidas para que no realicen solicitudes y trabajamos con las fuerzas de seguridad para responder a los incidentes que implican solicitudes sospechosas de ser fraudulentas, como hemos hecho en este caso", dijo en un comunicado.
"Esta táctica es una amenaza importante en toda la industria tecnológica", dijo Peter Day, director del grupo de comunicaciones corporativas de Discord. "Estamos invirtiendo continuamente en nuestra capacidad de confianza y seguridad para hacer frente a problemas emergentes como este".
El informe original — creado por KrebsOnSecurity — describe a un grupo de estafadores electrónicos que posiblemente son las mismas personas que luego formaron el grupo criminal Lapsus$. Estas personas lograron acceder ilegalmente a cuentas de correo electrónico de agencias de la ley, muy probablemente a través de phishing o virus.
A continuación, utilizaron estas cuentas de correo electrónico para contactar ae estas grandes empresas, enviando una solicitud de datos de emergencia (Emergency Data Request o ERD).
Las fuerzas del orden se ponen en contacto con las empresas habitualmente preguntando por datos sobre sus usuarios y clientes. Las solicitudes, sin embargo, tienen que cumplir con ciertas normas y suelen tardar en ser procesadas. Pero las EDR, sin embargo, se saltan el proceso de comprobación porque, en teoría, se utilizan en casos de vida o muerte (o lesiones graves). Usando los EDR, los estafadores obligan a las empresas a enfrentarse a la posibilidad de que alguien pierda la vida si se toman demasiado tiempo para confirmar la identidad del remitente. Como resultado, se arriesgan a filtrar datos, al apresurarse a compartirlos sin comprobar dos veces quién es el remitente.