El FBI ha emitido una advertencia pública sobre una nueva modalidad de fraude cibernético en la que hackers están utilizando cuentas de correo electrónico comprometidas de autoridades policiales y gubernamentales para solicitar información privada de usuarios a empresas tecnológicas en EE. UU. a través de solicitudes de datos de emergencia. Según el aviso, esta práctica permite a los delincuentes acceder a información confidencial, como correos electrónicos y números de teléfono, bajo la apariencia de ser comunicaciones oficiales y urgentes.
Las solicitudes de emergencia son un recurso legal usado en situaciones de riesgo inmediato para obtener información de usuarios sin la demora de una orden judicial. Sin embargo, el FBI ha observado un incremento en el uso fraudulento de estas solicitudes, especialmente desde agosto, y ha decidido hacer pública la situación para alertar a empresas y ciudadanos sobre este riesgo.
Según el FBI, los ciberdelincuentes están explotando correos electrónicos comprometidos de agencias de EE. UU. y otros gobiernos extranjeros para presentar solicitudes de emergencia falsas, haciéndose pasar por autoridades legítimas. Estas solicitudes alegan amenazas graves, como la posibilidad de que alguien “sufra gravemente o muera” si no se les otorga acceso a los datos solicitados, lo que provoca que empresas entreguen información privada de los usuarios, como nombres de usuario, correos electrónicos y números de teléfono.
Generalmente, las agencias policiales en EE. UU. necesitan justificar legalmente su acceso a los datos privados almacenados en servidores de empresas. Este proceso puede incluir órdenes de registro, que requieren aprobación judicial para obtener datos personales. También pueden emitir citaciones, sin requerir aprobación judicial, para obtener información básica de la cuenta, como datos de inicio de sesión y ubicaciones aproximadas.
En casos de emergencia, donde se considera que existe un riesgo inminente, las fuerzas de seguridad pueden enviar solicitudes urgentes a las empresas para acceder a información sin necesidad de una orden judicial. Es este tipo de solicitud el que está siendo abusado por los hackers.
Empresas tecnológicas como Apple, Google, Meta y Snap, que manejan grandes volúmenes de datos de usuarios, reciben cada año decenas de miles de solicitudes de emergencia, legítimas y fraudulentas. Un informe de 2022 de Bloomberg reveló que empresas como Apple, Meta (propietaria de Facebook e Instagram), Snapchat y Discord han sido víctimas de solicitudes de emergencia falsas, que datan desde principios de 2021. Estos ataques han sido atribuidos a grupos como el Recursion Team y Lapsus$, formados principalmente por jóvenes y adolescentes.
El uso de estos datos robados se dirige a actividades como el acoso, la publicación no autorizada de información personal (doxing) y fraudes financieros. El FBI ha aconsejado a las organizaciones de seguridad que refuercen sus medidas de ciberseguridad mediante el uso de contraseñas más robustas y autenticación multifactorial, para reducir la posibilidad de que sus cuentas sean comprometidas. Además, exhorta a las empresas privadas a “aplicar un pensamiento crítico” al recibir solicitudes de emergencia, ya que los ciberdelincuentes están conscientes de la urgencia que estos casos suelen implicar.
