Cover Image for El FBI advierte que delincuentes informáticos envían solicitudes falsas de datos policiales a grandes empresas tecnológicas para robar información privada de las personas.

El FBI advierte que delincuentes informáticos envían solicitudes falsas de datos policiales a grandes empresas tecnológicas para robar información privada de las personas.

La advertencia representa una inusual aceptación por parte del FBI sobre el peligro que suponen las solicitudes de datos de emergencia falsas, presentadas por hackers que tienen acceso a cuentas de correo electrónico de la policía.

El FBI ha emitido una advertencia sobre un incremento en los casos de hackers que obtienen información personal de usuarios, como correos electrónicos y números de teléfono, provenientes de empresas tecnológicas en EE. UU. Estos ataques se están llevando a cabo a través de la violación de correos electrónicos de agencias gubernamentales y de la policía para presentar solicitudes de datos "de emergencia". Este aviso público es una de las pocas ocasiones en que el gobierno federal reconoce la amenaza que representan estas solicitudes fraudulentas, un mecanismo legal diseñado para que las autoridades respondan a situaciones de riesgo inmediato para la vida o propiedad de las personas.

La explotación de las solicitudes de datos de emergencia no es un fenómeno reciente, ya que ha sido documentada ampliamente en los últimos años. Sin embargo, el FBI indicó que experimentó un "aumento" en las publicaciones criminales en línea desde agosto, donde se ofrecía acceso o se realizaban estas solicitudes fraudulentas, razón por la cual decidió hacer un aviso público para generar conciencia sobre el problema. Según el FBI, "los cibercriminales están aprovechando las direcciones de correo electrónico comprometidas de gobiernos, tanto de EE. UU. como del extranjero, para realizar solicitudes de datos de emergencia fraudulentas a empresas estadounidenses, lo que expone la información personal de los clientes a su uso para fines delictivos".

Las fuerzas del orden en EE. UU. generalmente requieren una justificación legal para obtener acceso a datos privados almacenados por las empresas. Normalmente, necesitan presentar pruebas de un posible delito antes de que un juez emita una orden de investigación que autorice la solicitud de dicho contenido privado. También pueden emitir citaciones, que no requieren intervención judicial, para recoger información básica del usuario, como nombres de usuario, direcciones de correo electrónico y números de teléfono. En situaciones de riesgo inmediato, se pueden hacer solicitudes de emergencia, un proceso que permite a las autoridades solicitar información urgentemente.

El FBI ha detectado publicaciones por parte de cibercriminales a lo largo de 2023 y 2024, donde afirmaban tener acceso a correos electrónicos de agencias de ley locales y gobiernos extranjeros. Este acceso se ha utilizado para enviar citaciones fraudulentas y otras demandas legales a empresas en EE. UU., que buscan datos privados de los usuarios almacenados en sus sistemas. Los hackers han logrado hacerse pasar por autoridades policiales mediante el uso de cuentas comprometidas, enviando correos electrónicos a las empresas con solicitudes de datos de usuarios. En algunos casos, las solicitudes citaban amenazas falsas, alegando, por ejemplo, situaciones de tráfico humano.

El FBI mencionó que, aunque estos intentos de solicitudes fraudulentas no siempre tienen éxito, muchas veces la información requerida es utilizada para acoso, doxing y esquemas de fraude financiero. Anteriores informes detallaron que hackers habían obtenido datos de usuarios de grandes empresas como Apple y Meta a través de estas solicitudes fraudulentas. Además, se mencionó que en 2021, grupos compuestos principalmente por jóvenes habían llevado a cabo estas prácticas, destacando a los grupos Recursion Team y Lapsus$.

Por último, el FBI exhortó a las organizaciones de seguridad a mejorar su ciberseguridad para prevenir intrusiones, implementando contraseñas más robustas y autenticación de dos factores. Asimismo, advirtió a las empresas sobre la importancia de aplicar un pensamiento crítico ante cualquier solicitud de datos de emergencia recibida, recordando que los cibercriminales entienden la urgencia de tales situaciones.