Apple y Meta fueron engañados por hackers y compartieron datos privados de usuarios

Apple y Meta, empresa matriz de Facebook, Instagram y WhatsApp, proporcionaron datos personales de sus usuarios a hackers que se hicieron pasar por miembros de las autoridades a mediados de 2021 pidiendo “solicitudes de datos de emergencia”, según informaron tres personas con conocimiento del asunto.

Según lo que se sabe hasta ahora de este caso que sigue en investigación, Apple y Meta proporcionaron detalles básicos de los usuarios como la dirección, número de teléfono y dirección IP del cliente. Las solicitudes de emergencia que pidieron los hackers están pensadas para ser utilizadas en caso de un peligro inminente y no requieren una aprobación judicial.

Los investigadores de seguridad cibernética sospechan que algunos de estos hackers son menores de edad ubicados en el Reino Unido y Estados Unidos. También se cree que uno de los menores es el cerebro detrás del grupo de hackers Lapsus$, que hackeó Microsoft, Samsung y Nvidia. Según informó Bloomberg, la policía de Londres arrestó recientemente a siete personas en relación con una investigación sobre el grupo de hackers Lapsus$.

La información que consiguieron los hackers fue utilizada para campañas de acoso y para fraudes de tipo financiero, según las personas familiarizadas con la investigación. Al conocer los datos de la víctima, los hackers podrían utilizarlos para intentar burlar la seguridad de las cuentas.

Según informó un portavoz de Apple a Bloomberg, las pautas a las que hace referencia Apple dicen que un supervisor del gobierno o agente de la ley que presentó la solicitud puede ser contactado y se le pedirá que confirme a Apple que la solicitud de emergencia era legítima.

“Revisamos todas las solicitudes de datos para verificar su suficiencia legal y utilizamos sistemas y procesos avanzados para validar las solicitudes de aplicación de la ley y detectar abusos. Bloqueamos las cuentas comprometidas conocidas para que no realicen solicitudes y trabajamos con las fuerzas del orden público para responder a incidentes relacionados con solicitudes fraudulentas sospechosas, como lo hemos hecho en este caso”, dijo Andy Stone, portavoz de Meta, en un comunicado.

Las solicitudes falsificadas se hicieron para parecer legítimas. En algunos casos, los documentos incluían firmas falsificadas de agentes del orden reales o ficticios, según dio a conocer Bloomberg. Al comprometer los sistemas de correo electrónico de las fuerzas del orden público, los hackers pueden haber encontrado solicitudes legales legítimas y usarlas como plantilla para crear falsificaciones.

“En todos los casos en que estas empresas se equivocaron, en el fondo había una persona que intentaba hacer lo correcto”, dijo Allison Nixon, directora de investigación de la firma cibernética Unit 221B a Bloomberg. “No puedo decirle cuántas veces los equipos de confianza y seguridad han salvado vidas silenciosamente porque los empleados tenían la flexibilidad legal para responder rápidamente a una situación trágica que se desarrollaba para un usuario”. 

“En emergencias, las fuerzas del orden pueden presentar solicitudes sin proceso legal. Según las circunstancias, podemos divulgar voluntariamente información a las fuerzas del orden cuando tengamos una razón de buena fe para creer que el asunto implica un riesgo inminente de lesiones físicas graves o la muerte”, afirma Meta en su sitio web.