Apple Inc. y Meta Platforms han sido víctimas de solicitudes de protección de datos falsas provenientes de hackers que han derivado en brechas de seguridad.
Apple Inc. y la empresa matriz de Facebook, Meta Platforms Inc., proporcionó datos de consumidores a hackers que se hacían pasar por agentes de los cuerpos y fuerzas de seguridad, según este informe de Bloomberg. Apple y Meta facilitaron así detalles básicos de los suscriptores a los atacantes, incluidos direcciones, números de teléfono y direcciones IP como respuesta a “solicitudes de datos de emergencia”. El incidente tuvo lugar a mediados de 2021. Normalmente, las solicitudes de datos sólo se satisfacen si hay una orden de arresto o una citación firmada por un juez. Sin embargo, dicha orden no es necesaria cuando se trata de solicitudes de emergencia. Snap Inc. también recibió una solicitud de los mismos atacantes, pero por el momento se desconoce si la empresa proprocionó los datos. Conforme a los investigadores de ciberseguridad que trabajan en el caso, se trataría de hackers menores localizados en Reino Unido y Estados Unidos. La policía de Londres ha arrestado recientemente a sietes personas en relación a una investigación sobre el grupo de hackers Lapsus$, cuyo líder es sospechoso de haber orquestado esta brecha. También podrían estar involucrados algunos componentes de un grupo de delitos cibernéticos denominado “Recursion Team”. La investigación aún está en curso.
Se utilizaron solicitudes de emergencia, que normalmente no requieren de una orden firmada por un juez, para obtener de manera ilegal información de estas compañías.
En caso de investigaciones sobre delitos, es habitual que las fuerzas y cuerpos de seguridad de todo el mundo soliciten a las plataformas y redes sociales información sobre sus usuarios. En Estados Unidos, por ejemplo, estas solicitudes normalmente requieren de una orden firmada por un juez. Este no es el caso con las solicitudes de emergencia, pues se supone que pretenden emplearse en casos de inminente peligro. El portavoz de Meta, Andy Stone, afirmó que “Revisamos cada solicitud de datos para validarla de manera suficiente desde una perspectiva legal y utilizamos sistemas y procesos avanzados para confirmar su veracidad y detectar casos de abuso. Bloqueamos cuentas que sabemos que han sido comprometidas y trabajamos con los cuerpos y fuerzas de seguridad para dar respuesta a incidentes que pueden estar relacionados con solicitudes fraudulentas, como hemos hecho en este caso”. Asimismo, Meta indica en su página web lo siguiente “En casos de emergencia, las fuerzas y cuerpos de seguridad pueden presentar solicitudes sin haber cumplido con todo el proceso legal. En estas circunstancias podemos compartir con ellas de manera voluntaria la información si tenemos una buena razón para creer que el asunto implica un riesgo inminente de daño físico o muerte”.
Las solicitudes se enviaron por email de parte de cuentas de cuerpos y fuerzas de seguridad que habían sido comprometidas.
Los sistemas para solicitar datos de empresas incluyen direcciones de correo especiales y/o portales de empresa. Cumplir con las solicitudes legales puede ser complicado debido al gran número de fuerzas y cuerpos de seguridad que hay en todo el mundo. Cada jurisdicción tiene su propia normativa en relación al proceso que debe seguirse para solicitar los datos de los usuarios. Empresas como Meta y Snap operan sus propios portales para recibir estas solicitudes por parte de las fuerzas y cuerpos de seguridad, pero también aceptan algunas enviadas por correo electrónico y realizan un seguimiento frecuente. Apple acepta solicitudes legales de datos de usuarios en una dirección de email de apple.com, para asegurarse que se transmite desde una dirección de correo oficial de la agencia que realiza la petición, conforme a las pautas oficiales de Apple. El problema es que en algunos casos comprometer el dominio del email de las fuerzas y cuerpos de seguridad en todo el mundo es relativamente simple, pues la información de acceso de estas cuentas está disponible a la venta en portales online delictivos.
¿Has implementado todas las medidas para cumplir con el RGPD, la LOPDGDD, la LSSI y la directiva ePrivacy? Nuestros servicios integrales abarcan, entre otras áreas, Evaluaciones de Impacto de Protección de Datos, Evaluaciones de la Ética de la IA, implementación del RGPD, la LOPDGDD y la LSSI y subcontratación del Delegado de Protección de Datos. Infórmate aquí.