Las compañías tecnológicas Meta, matriz de Facebook, y Apple habrían proporcionado información de sus usuarios a ciberdelincuentes que se hicieron pasar por la Policía, según afirmó Bloomberg en una reciente publicación.

Tal y como han adelantado tres personas que investigan los hechos a este medio, ambas compañías proporcionaron detalles básicos de sus usuarios, como direcciones, números de teléfono o direcciones de IP, a mediados del año pasado, tras recibir solicitudes de emergencia supuestamente legales.

Las fuerzas del orden solicitan habitualmente a las plataformas y redes sociales información sobre los usuarios, como parte de las investigaciones penales. En Estados Unidos, país de origen y centro de operaciones de ambas empresas, estas solicitudes incluyen la mayoría de las veces una orden firmada por la autoridad competente, en este caso, de un juez.

A pesar de que las compañías solo ofrecen esta información con una orden de registro o una citación firmada por un juez previamente, las solicitudes de emergencia no presentan estos requisitos, puesto que están pensadas para ser utilizadas en casos de peligro inminente.

Apple, por su parte, ha contactado con Bloomberg para aclarar el caso y le ha remitido una sección de sus directrices de protección de datos de los usuarios.

En ellas se expone que el supervisor del gobierno o agente de la ley que instó a la empresa a entregar esa información "puede ser contactado" y que se le pediría una confirmación para determinar que la solicitud de emergencia "era legítima", según estos documentos.

Mientras, el portavoz de Meta, Andy Stone, ha señalado que desde la empresa llevan un sistema de seguridad exhaustivo con respecto a este tipo de peticiones, para mantener a salvo la información de sus usuarios.

"Revisamos cada solicitud de datos para comprobar su suficiencia legal y utilizamos nuestros sistemas avanzados para validar las solicitudes de las fuerzas del orden y detectar abusos", dijo el portavoz.

Además, detalló que desde Meta bloquean las cuentas que hayan sido identificadas como peligrosas para que no emitan estas solicitudes y que trabajan con las fuerzas de seguridad para responder a incidentes relacionados con solicitudes presuntamente fraudulentas.

No obstante, en su propia página web especifica que "en función de las circunstancias" la compañía puede revelar voluntariamente información a las fuerzas de seguridad cuando tenga razones para considerar que el asunto "implica un riesgo inminente de lesiones físicas graves o muerte".

Además de Apple y Meta, según ha señalado Bloomberg, Snapchat también habría recibido una solicitud aparentemente legal por parte de este grupo de ciberdelincuentes, pero se desconoce si llegó a proporcionar los datos requeridos.

Por su parte, la página web Krebs on Security informó que los hackers también habrían tenido como objetivo la plataforma Discord. Esta confirmó después a Bloomberg que también recibieron una petición de estas características.

"Verificamos estas solicitudes comprobando que provienen de una fuente legítima y así lo hicimos en este caso", apuntó la compañía Discord en un comunicado.

"Aunque nuestro proceso de verificación confirmó que la cuenta de las fuerzas del orden en sí era legítima, más tarde supimos que había sido comprometida por un agente malicioso", ha explicado y ha asegurado que ya ha notificado el caso a la Policía.

Varios sistemas de solicitud

Dependiendo de la compañía o empresa de la que se trate, el procedimiento para realizar estas solicitudes urgentes presenta ciertas diferencias.

Compañías como Meta y Snapchat trabajan desde sus propios portales para que las fuerzas de seguridad envíen solicitudes legales, pero también aceptan solicitudes por correo electrónico.

Además, monitorizan las solicitudes de forma ininterrumpida, según ha informado el director de la empresa de ciberseguridad Recorded Future Inc. y ex jefe del programa cibernético en el Departamento de Seguridad Nacional, Jared Der-Yeghiayan.

Por el contrario, Apple acepta solicitudes legales de datos urgentes a través de una dirección de correo electrónico apple.com.

Posibles conexiones con LAPSUS$

Según las investigaciones, se cree que ciberdelincuentes asociados a un grupo conocido como Recursion Team están incolucrados en estas falsificaciones y que comenzaron a enviar las solicitudes a lo largo de 2021.

En concreto, el envío masivo de estas solicitudes comenzó en enero del pasado año y se cree que se enviaron a través de dominios de correo electrónico fraudulentos pertenecientes a organimos policiales de varios países.

Para ofrecer un aspecto legítimo, los ciberdelincuentes incluyeron firmas falsas de agentes reales y otros ficticios en estos documentos, según han confirmado dos de estos testigos.

El tercero, en cambio, comentó a Bloomberg que, al comprometer los sistemas de correo electrónico de las fuerzas del orden, los estafadores podrían haber encontrado solicitudes legales legítimas y haberlas utilizado como plantilla, para replicar las falsas.

A pesar de que Recursion Team permanece inactivo actualmente, los investigadores sospechan que algunos de los implicados en el envío de estas falsas peticiones podrían tener conexiones con LAPSUS$.

Este grupo de hackers, en el que participan adolescentes y cuyo autor intelectual reside en Inglaterra, se ha atribuido recientemente el robo de información y credenciales de otras grandes empresas tecnológicas, como Samsung, Nvidia, Okta o Microsoft.