Skip to main content

Apple y Facebook dieron información confidencial de usuarios a estafadores

El logo de Meta contra el logo de Facebook
(Image credit: Shutterstock / rafapress)

Hackers criminales engañaron a Apple y Meta para obtener información confidencial de sus usuarios. Según un reportaje de Bloomberg (opens in new tab), tanto Meta (la empresa matriz de Facebook) como Apple cayeron como primos ante una red que se hacía pasar por policías desde cuentas de correo oficiales usadas ilegalmente. El asunto es grave porque ambas empresas compartieron direcciones IP, números de teléfono y los domicilios de sus usuarios sin rechistar.

Además de Meta y Apple, Snap y Discord también fueron del ataque. Sin embargo, no está claro si estas empresas cayeron en la estafa o no.

TechRadar needs yo...

Estamos estudiando cómo nuestros lectores utilizan las VPN con diferentes dispositivos para poder mejorar nuestro contenido y ofrecer mejores consejos. Esta encuesta no debería llevarte más de 60 segundos de tu tiempo. Los participantes en los Estados Unidos tendrán la oportunidad de entrar en el sorteo de una tarjeta regalo de 130 dólares. Gracias por participar.

>> Pulsa aquí para rellenar la encuesta en otra ventana (opens in new tab) <<

Snap y Discord también fueron atacadas

El director de políticas y comunicaciones de Meta, Andy Stone, dijo a The Verge (opens in new tab) que la compañía revisa cada solicitud de datos para comprobar su legalidad y utiliza "sistemas y procesos avanzados" para validar las solicitudes de las fuerzas de seguridad y detectar abusos.

"Bloqueamos las cuentas comprometidas conocidas para que no realicen solicitudes y trabajamos con las fuerzas de seguridad para responder a los incidentes que implican solicitudes sospechosas de ser fraudulentas, como hemos hecho en este caso", dijo en un comunicado.

"Esta táctica es una amenaza importante en toda la industria tecnológica", dijo Peter Day, director del grupo de comunicaciones corporativas de Discord. "Estamos invirtiendo continuamente en nuestra capacidad de confianza y seguridad para hacer frente a problemas emergentes como este".

El informe original — creado por KrebsOnSecurity — describe a un grupo de estafadores electrónicos que posiblemente son las mismas personas que luego formaron el grupo criminal Lapsus$. Estas personas lograron acceder ilegalmente a cuentas de correo electrónico de agencias de la ley, muy probablemente a través de phishing o virus.

A continuación, utilizaron estas cuentas de correo electrónico para contactar  ae estas grandes empresas, enviando una solicitud de datos de emergencia (Emergency Data Request o ERD). 

Las fuerzas del orden se ponen en contacto con las empresas habitualmente preguntando por datos sobre sus usuarios y clientes. Las solicitudes, sin embargo, tienen que cumplir con ciertas normas y suelen tardar en ser procesadas. Pero las EDR, sin embargo, se saltan el proceso de comprobación porque, en teoría, se utilizan en casos de vida o muerte (o lesiones graves). Usando los EDR, los estafadores obligan a las empresas a enfrentarse a la posibilidad de que alguien pierda la vida si se toman demasiado tiempo para confirmar la identidad del remitente. Como resultado, se arriesgan a filtrar datos, al apresurarse a compartirlos sin comprobar dos veces quién es el remitente. 

Sead is a seasoned freelance journalist based in Sarajevo, Bosnia and Herzegovina. He writes about IT (cloud, IoT, 5G, VPN) and cybersecurity (ransomware, data breaches, laws and regulations). In his career, spanning more than a decade, he’s written for numerous media outlets, including Al Jazeera Balkans. He’s also held several modules on content writing for Represent Communications.