Una alarmante táctica de ciberdelincuencia está poniendo en jaque a gigantes tecnológicos como Amazon, Apple y Meta. En un abrir y cerrar de ojos, apenas 20 minutos, los delincuentes logran acceder a información sensible de usuarios, todo bajo el pretexto de una supuesta «emergencia policial».
Este método fraudulento se aprovecha de procedimientos legales diseñados para situaciones críticas. Los criminales han logrado manipular estas normativas, generando cientos de filtraciones de datos en tiempos récord, según revelan investigaciones recientes.
El Engaño de la «Emergencia Policial»
La modalidad delictiva se basa en explotar una herramienta legal conocida como «Solicitud de Datos de Emergencia» (EDR, por sus siglas en inglés). Este recurso está destinado exclusivamente a las fuerzas de seguridad en casos de riesgo inminente o peligro de vida, permitiéndoles obtener información de usuarios sin necesidad de una orden judicial previa. La premisa es que la urgencia justifica la celeridad.
Sin embargo, los ciberdelincuentes han perfeccionado el arte de imitar estos procedimientos, engañando a las empresas de tecnología.
El engaño comienza con la creación o el acceso no autorizado a cuentas de correo electrónico que simulan ser de agentes policiales. Los atacantes van más allá de la simple falsificación de correos; a menudo adquieren dominios web que imitan a los de organismos oficiales. Además, suplantan a oficiales reales utilizando sus nombres y números de placa, información que obtienen de fuentes públicas o filtraciones anteriores.
Posteriormente, elaboran documentos legales fraudulentos, replicando modelos legítimos para dotarlos de máxima credibilidad. Con estos, envían las solicitudes a los departamentos legales de compañías como Amazon, Apple, Meta o Charter Communications, alegando situaciones de emergencia extrema, incluyendo amenazas de muerte.
Frente a la aparente urgencia, los equipos legales de estas empresas responden en cuestión de minutos, entregando datos como nombres, direcciones, números de teléfono, correos electrónicos e incluso credenciales de acceso asociadas a las cuentas objetivo.
Casos Reales: El Impacto del Fraude
La magnitud de esta estafa se revela a través de testimonios y la confesión de un hacker conocido como «Exempt». Este individuo afirma haber ejecutado este tipo de ataque con éxito en hasta 500 ocasiones en los últimos años, afectando a gigantes tecnológicos y plataformas de video.
Exempt ha compartido registros de correos electrónicos, grabaciones de llamadas con personal legal y documentos de fraude, evidenciando la alarmante vulnerabilidad del sistema. Un caso reciente involucró a Charter Communications, donde una solicitud falsa resultó en la entrega de información confidencial de un usuario en tan solo veinte minutos.
Estas acciones exponen a las víctimas a graves riesgos, incluyendo amenazas, acoso e incluso «swatting», una falsa denuncia que moviliza a las fuerzas de seguridad de forma violenta a sus domicilios.
La información robada se comercializa en la dark web, alimentando nuevas campañas de phishing, fraudes y estafas. Las ganancias son significativas: solo en un mes, la organización de Exempt recaudó más de 18.000 dólares, y algunos «doxings» (venta de información personal) alcanzan los 1.200 dólares por víctima.
¿Cómo Protegerse Ante Esta Amenaza?
Si bien la responsabilidad principal recae en las empresas que albergan los datos, los usuarios pueden tomar medidas preventivas:
- Actualizar credenciales y contraseñas en todas sus cuentas, junto con la habilitación de autenticación en dos pasos, añade una capa de seguridad crucial.
- Mantenerse alerta ante mensajes, llamadas o correos electrónicos inesperados que soliciten información privada o redirijan a sitios externos, incluso si parecen legítimos.
Para las empresas, la tendencia se orienta a la adopción de portales de seguridad más robustos y la disminución gradual de la gestión de solicitudes por correo electrónico, fortaleciendo así los mecanismos de verificación para evitar ser víctimas de este tipo de fraudes.
Fuente: Infobae