A mediados de 2021 unos hackers consiguieron robar datos de usuarios de Apple y Meta con un simple truco de ingeniería social. En vez de tratar de acceder a los servidores de ambas compañías, fuertemente protegidos, se hicieron pasar por cuerpos de seguridad, y aprovecharon el sistema de emergencia de solicitud de datos que se utiliza durante una investigación real.
Según fuentes de Bloomberg, el truco funcionó. Apple y Meta dieron voluntariamente a los atacantes nombres, direcciones y números IP de varios usuarios tras recibir estas peticiones. Snap, la empresa detrás de Snapchat, también recibió una de estas solicitudes falsas, pero no se ha confirmado que cayese en la trampa.
El suceso ha disparado las alarmas de la comunidad de ciberseguridad. Apple, Meta, Google y el resto de las compañías tecnológicas proporcionan información a las fuerzas de seguridad y gobiernos de distintos países cuando reciben una orden oficial. En la mayoría de países estas órdenes tienen que estar firmadas por un juez.
Pero las empresas tienen también mecanismos para solicitar información en casos de emergencia, cuando hay una situación de peligro inminente para una víctima. El tipo de datos que es posible solicitar en estos casos es limitado, pero el ataque demuestra que Apple o Meta no aplican todas las precauciones que deben en estos casos.
Apple, por ejemplo, explica en su guía para agencias de seguridad que la compañía "puede contactar y pedir al agente que confirme que la solicitud de emergencia es legítima", pero no indica que sea un proceso establecido para todas las solicitudes. Meta asegura que las solicitudes se verifican para evitar casos de abuso, pero, al igual que Apple, este caso prueba que esos filtros que aplica no son del todo efectivos.
El grupo detrás del ataque podría ser el conocido como "Recursion Team", un equipo de hackers con miembros que también están vinculados a Lapsus$ , un grupo de hackers que en los últimos meses ha atacado compañías tecnológicas de alto perfil como Microsoft o Nvidia. La información personal obtenida podría haber sido utilizada en casos de acoso o en intentos de recuperación de contraseñas o suplantación de identidad.
Conforme a los criterios de