Apple y Meta son dos de las empresas que menos te esperas que te estafen. Pero no es la primera vez Los gigantes de la tecnología son noticia por razones equivocadas. Esta vez, piratas informáticos que se hacían pasar por agentes de la ley obtuvieron datos de clientes de las dos centrales. El mismo grupo también ha puesto en su punto de mira a Snap Inc y a la popular aplicación de mensajería Discord.
Bloomberg
informa
que los atacantes engañaron a Apple y Meta para que les entregaran información como direcciones de clientes, números de teléfono y direcciones IP falsificando solicitudes de datos de emergencia. Por lo general, se necesita una orden de registro o una citación firmada por un juez para obtener esos datos confidenciales. Sin embargo, las solicitudes urgentes no necesitan una orden judicial.
Cómo Apple y Meta lo permitieron
Las fuentes de Bloomberg indican que los atacantes utilizaron el truco más antiguo del repertorio de estafas: la clásica suplantación de identidad. En primer lugar, comprometieron las cuentas de correo electrónico de las fuerzas del orden de varios países y, a continuación, utilizaron plantillas jurídicas de aspecto profesional con firmas falsas de funcionarios de las fuerzas del orden auténticos e inventados para llevar a cabo la estafa.
Si te estás preguntando si se trataba de un plan sofisticado, mucho más allá de lo que las empresas podrían esperar, no lo era. Lo más probable es que los piratas informáticos compraran contraseñas en la web oscura y falsificaran la práctica habitual de solicitar información a las plataformas de redes sociales durante una investigación criminal.
Como era de esperar, los representantes de Apple y Meta se apresuraron a restar importancia al incidente.
“Revisamos cada solicitud de datos para comprobar su suficiencia legal y utilizamos sistemas y procesos avanzados para validar las solicitudes de las fuerzas de seguridad y detectar abusos. Bloqueamos las cuentas comprometidas conocidas para que no puedan realizar solicitudes y colaboramos con las fuerzas de seguridad para responder a incidentes relacionados con solicitudes presuntamente fraudulentas, como hemos hecho en este caso. ” El portavoz de Meta, Andy Stone, afirmó en un comunicado.
¿Quién estaba detrás del atentado?
Todas las pistas conducen a los hackers conocidos como Recursion Group. Aunque el grupo ya no está activo, se cree que algunos de sus miembros, entre ellos menores del Reino Unido y Estados Unidos, realizan ciberataques en nombre del conocido grupo Lapsus$, que ha atacado a muchos gigantes tecnológicos importantes como Samsung, Nvidia y Microsoft. La Policía británica les pisa los talones y ha
ya ha detenido
a siete personas presuntamente vinculadas al grupo Laspus$.
¿Cómo evitar estos fraudes?
Si seguimos la cadena de acontecimientos que condujeron al atentado, todo empezó con las fuerzas del orden y su cuestionable higiene de seguridad. Para evitar los ataques de apropiación de cuentas, las agencias deben aumentar la concienciación de sus empleados en materia de ciberseguridad y establecer protocolos estrictos de contraseñas en todos los departamentos.
Una contraseña segura tiene al menos 12 caracteres y una mezcla de letras mayúsculas y minúsculas, números y símbolos. La forma más eficaz de gestionar las contraseñas de varias cuentas es utilizar un servicio generador de contraseñas.
En cuanto a las propias víctimas, es un poco más difícil para empresas como Apple y Meta detectar al instante estas estafas sin un sistema centralizado para presentar dichas solicitudes. Con tantas jurisdicciones y cuerpos de seguridad en todo el mundo, hacer un seguimiento de todas las leyes sobre recopilación de datos en conjunción con investigaciones penales es un reto que aún espera una solución.
Una posible medida es crear un portal universal en el que las fuerzas de seguridad deban iniciar sesión para solicitar datos, pero aunque sobre el papel parece buena, implantarla en el mundo real en todas las jurisdicciones podría ser cuestión de años. He aquí algunas estadísticas sobre la frecuencia de este tipo de solicitudes:
Apple recibió 1.162 solicitudes de emergencia de 29 países entre enero y junio de 2021 y respondió al 93%, mientras que Meta obtuvo 21.700 solicitudes en el mismo periodo y respondió al 77%.
Foto de violación de datos creada por rawpixel.com – www.freepik.com
Ahorre un 10% en certificados SSL al realizar su pedido hoy mismo.
Emisión rápida, cifrado potente, 99,99% de confianza del navegador, asistencia dedicada y garantía de devolución del dinero en 25 días. Código del cupón: SAVE10