Empresas

Engañan a Meta, Google y Twitter: entregaron datos para hostigar sexualmente a menores en EU

Los atacantes usaron la información para piratear las cuentas en línea de las víctimas y para hacerse amigos de mujeres y niños para alentarlos a proporcionar fotos íntimas.

Las principales empresas de tecnología fueron engañadas para proporcionar información confidencial sobre sus clientes. (David Gray/Bloomberg)

Las principales empresas de tecnología han sido engañadas para que proporcionen información personal confidencial sobre sus clientes en respuesta a solicitudes legales fraudulentas, los datos se han utilizado para acosar e incluso extorsionar sexualmente a menores, según cuatro funcionarios federales encargados de hacer cumplir la ley y dos investigadores de la industria.

Las empresas que han cumplido con las solicitudes falsas incluyen Meta, Apple, Google de Alphabet, Snap, Twitter y Discord, según tres de las personas. Todas las personas pidieron permanecer en el anonimato para hablar con franqueza sobre la nueva y tortuosa marca de delitos en línea que involucra a víctimas menores de edad.

Los datos obtenidos de manera fraudulenta se han utilizado para atacar a mujeres y menores específicos y, en algunos casos, para presionarlos a crear y compartir material sexualmente explícito y tomar represalias contra ellos si se niegan, según las seis personas.

Las fuerzas del orden y otros investigadores consideran que la táctica es la herramienta criminal más nueva para obtener información de identificación personal que puede usarse no solo para obtener ganancias financieras sino también para extorsionar y acosar a víctimas inocentes.

Es particularmente inquietante, ya que los atacantes se hacen pasar por agentes de la ley. La táctica es imposible de proteger a las víctimas, ya que la mejor manera de evitarla sería no tener una cuenta en el servicio objetivo, según las personas.

No está claro con qué frecuencia se han utilizado las solicitudes de datos fraudulentos para extorsionar sexualmente a menores. Las fuerzas del orden y las empresas de tecnología todavía están tratando de evaluar el alcance del problema. Dado que las solicitudes parecen provenir de agencias policiales legítimas, es difícil para las empresas saber cuándo han sido engañadas para que proporcionen datos de usuarios, dijeron las personas.

No obstante, los funcionarios encargados de hacer cumplir la ley y los investigadores dijeron que parece que el método se ha vuelto más frecuente en los últimos meses.

“Sé que las solicitudes de datos de emergencia se usan todos los días en emergencias reales que amenazan la vida, y es trágico que se abuse de este mecanismo para explotar sexualmente a los niños”, dijo Alex Stamos, exjefe de seguridad de Facebook que ahora trabaja como un consultor.

“Los departamentos de policía tendrán que centrarse en evitar compromisos de cuenta con autenticación multifactor y un mejor análisis del comportamiento del usuario, y las empresas de tecnología deberían implementar una política de devolución de llamada de confirmación, así como presionar a las fuerzas del orden público para que usen sus portales dedicados donde pueden detectar mejor las tomas de control de cuentas”, dijo Stamos.

Un portavoz de Google dijo: “En 2021, descubrimos una solicitud de datos fraudulenta proveniente de actores malintencionados que se hacían pasar por funcionarios gubernamentales legítimos. Rápidamente identificamos a un individuo que parecía ser el responsable y notificamos a la policía. Estamos trabajando activamente con las fuerzas del orden y otros en la industria para detectar y prevenir solicitudes de datos ilegítimas”.

Los trabajadores de Facebook revisan cada solicitud de datos en busca de “suficiencia legal y utilizan sistemas y procesos avanzados para validar las solicitudes de aplicación de la ley y detectar abusos”, dijo un portavoz. Del mismo modo, Rachel Racusen, portavoz de Snap, dijo que la compañía revisa cuidadosamente cada solicitud que recibe de las fuerzas del orden “para garantizar su validez y tener múltiples medidas de seguridad para detectar solicitudes fraudulentas”.

Un portavoz de Discord dijo que validan todas las solicitudes de emergencia. Twitter y Apple se negaron a comentar.

Las solicitudes de emergencia generalmente no incluyen una orden judicial firmada por un juez, por lo que las empresas generalmente no tienen la obligación legal de proporcionar datos. Pero es una práctica generalmente aceptada que las empresas entreguen datos limitados en respuesta a solicitudes de “buena fe” de las fuerzas del orden que impliquen un peligro inminente.

El mes pasado, Bloomberg News informó que Apple y Meta, la empresa matriz de Facebook, proporcionaron datos de clientes a piratas informáticos que se hicieron pasar por funcionarios encargados de hacer cumplir la ley. En ese momento, tres personas familiarizadas con el asunto dijeron que las solicitudes falsas parecían usarse principalmente para esquemas de fraude financiero.

El método exacto de los ataques varía, pero tienden a seguir un patrón general, según los agentes del orden. Comienza cuando el perpetrador compromete el sistema de correo electrónico de una agencia de aplicación de la ley extranjera.

Luego, el atacante falsificará una “solicitud de datos de emergencia” a una empresa de tecnología, buscando información sobre la cuenta de un usuario, dijeron los oficiales. Estas solicitudes son utilizadas por las fuerzas del orden para obtener información sobre cuentas en línea en casos que implican un peligro inminente, como suicidio, asesinato o secuestro.

A cambio, las empresas proporcionan al atacante información básica del suscriptor, los mismos datos proporcionados a las fuerzas del orden público en respuesta a una citación ordenada por un tribunal, dijeron los funcionarios encargados de hacer cumplir la ley y personas familiarizadas con los procesos legales.

Los datos proporcionados varían según las empresas, pero generalmente incluyen el nombre, la dirección IP, la dirección de correo electrónico y la dirección física. Algunas empresas proporcionan más datos.

Aunque parezcan inocuos, esos datos personales en las manos equivocadas pueden convertirse en armas. Los atacantes han usado la información para piratear las cuentas en línea de las víctimas o para hacerse amigos de las mujeres y los menores antes de alentarlos a proporcionar fotos sexualmente explícitas, según las personas. Se cree que muchos de los perpetradores son adolescentes en los Estados Unidos y en el extranjero, según cuatro de las personas.

Si las víctimas no cumplen con las demandas, los atacantes han utilizado varias técnicas de hostigamiento para tomar represalias, según las personas.

Una técnica que se ha implementado se llama “golpear”, donde los perpetradores llaman con una amenaza falsa a un despachador local del 911 para generar una respuesta policial a la dirección de su objetivo. En múltiples casos, las mujeres menores de edad han sido golpeadas en sus hogares y escuelas, dijeron los funcionarios federales encargados de hacer cumplir la ley.

Otro enfoque, llamado doxing, consiste en publicar en línea la información personal detallada, incluidos los números de teléfono y las direcciones físicas de las víctimas y sus familiares. La información, que a veces se obtiene en parte mediante solicitudes legales fraudulentas, generalmente se publica en sitios dedicados al doxing, que esencialmente sirven como una invitación abierta para que otras personas en el sitio acosen a la víctima.

Además, los perpetradores han amenazado con enviar material sexualmente explícito proporcionado por la víctima a sus amigos, familiares y administradores escolares si no cumplen con las demandas, según las personas. En algunos casos, las víctimas han sido presionadas para tallar el nombre del perpetrador en su piel y compartir fotografías del mismo, según los funcionarios encargados de hacer cumplir la ley y las transcripciones de chat en línea revisadas por Bloomberg.

El problema de las solicitudes legales falsificadas está impulsando a las empresas a pensar en nuevas formas de verificar las solicitudes legales legítimas, según una docena de personas familiarizadas con el tema.

“Las solicitudes fraudulentas de datos de emergencia abusan de la base de ‘buena fe’ del daño inminente, pero también se sabe que los estafadores falsifican procesos legales legítimos, como citaciones y órdenes de allanamiento, falsificando la firma de un juez”, dijo Matt Donahue, fundador de Kodex , que crea software para empresas para gestionar solicitudes legales.

En una declaración el mes pasado, el senador estadounidense Ron Wyden, demócrata de Oregón, dijo que estaba solicitando información a las empresas de tecnología sobre la práctica de solicitudes legales falsificadas.

“Estoy particularmente preocupado por la posibilidad de que las órdenes de emergencia falsificadas puedan provenir de agencias de aplicación de la ley extranjeras comprometidas y luego se utilicen para atacar a personas vulnerables.

“Nadie quiere que las empresas de tecnología rechacen solicitudes de emergencia legítimas cuando la seguridad de alguien está en juego, pero el sistema actual tiene debilidades claras que deben abordarse”, dijo Wyden.

Allison Nixon, directora de investigación de la firma de seguridad cibernética Unit 221b, dijo que la industria de la seguridad informática y las fuerzas del orden deberían priorizar la amenaza de los perpetradores menores de edad.

“Ahora estamos presenciando su transición al crimen organizado, y toda la violencia y el abuso sexual en el mundo real que conlleva”, dijo Nixon y agregó que los piratas informáticos juveniles están causando daños graves, por lo que “necesitamos comenzar a tratarlos como adultos”.

También lee: