La semana pasada, Meta, Discord y Apple admitieron un error profundamente extraño y preocupante: todos habían entregado datos de usuarios a piratas informáticos que falsificaron solicitudes de datos de emergencia de las fuerzas del orden a través de cuentas de correo electrónico comprometidas. Es una situación aterradora no solo porque la información del usuario fue revelada a piratas informáticos que se hacían pasar por funcionarios del gobierno, aunque, por supuesto, eso es un gran problema, sino también porque no hay una forma sencilla para que las empresas o los funcionarios encargados de hacer cumplir la ley resuelvan esto en el futuro, al menos no sin tener que hacer frente a enormes compensaciones.
Las solicitudes de datos de emergencia son una forma en que los funcionarios encargados de hacer cumplir la ley obtienen información sin tener que pasar por los procesos legales estándar para obtener una orden de allanamiento o una citación autorizada por un juez. Obviamente, esos procesos legales existen por una razón y brindan controles valiosos sobre el acceso de las fuerzas del orden a los datos, por lo que las solicitudes de datos de emergencia se usan solo para emergencias. Si los funcionarios tienen una razón para creer que existe una necesidad urgente de los datos que buscan (por ejemplo, la vida de alguien está en riesgo), entonces pueden enviar estas solicitudes por correo electrónico o portales en línea sin tener que obtener la autorización de un juez. La empresa que recibe la solicitud de emergencia puede decidir si entrega la información solicitada en función de la naturaleza de la solicitud y si cumple con sus criterios para una emergencia.
El reportero de seguridad Brian Krebs vinculó estas solicitudes falsas de datos de emergencia al grupo de hackers Lapsus$ a fines de marzo. La semana pasada, dos adolescentes en el Reino Unido fueron acusados ??de delitos cibernéticos relacionados con Lapsus$, que ha llamado la atención recientemente por violar varias de las principales empresas tecnológicas, incluidas Microsoft y Nvidia .
Krebs señaló que un pirata informático vinculado a Lapsus$ y su predecesor, el ahora desaparecido grupo de piratería Recursion Team, había publicado en un foro en línea una oferta para vender cuentas de correo electrónico gubernamentales comprometidas que “pueden usarse para citaciones para muchas compañías como Apple, Uber, Instagram, etc.” Las publicaciones sugieren que los piratas informáticos confían en comprometer las cuentas de correo electrónico que pertenecen a los departamentos de policía y utilizan esos correos electrónicos para enviar solicitudes de datos de emergencia a las empresas de tecnología. Apple, Meta (la empresa matriz de Facebook) y Discord entregaron información de clientes en respuesta a solicitudes de datos de emergencia falsificados, según un informe del mes pasado de Bloomberg.
Es una táctica inteligente para extraer información de las empresas de tecnología porque no existen soluciones simples o fáciles. Las empresas podrían decidir dejar de responder a cualquier solicitud de datos de emergencia por temor a que puedan ser falsificados, pero eso podría poner en peligro la seguridad de las personas en los casos en que las solicitudes fueran legítimas y realmente sirvieran para un propósito valioso. No sabemos con qué frecuencia estas solicitudes son literalmente situaciones de vida o muerte, por supuesto, pero Apple, por ejemplo, en su páginaal describir el procedimiento para realizar tales solicitudes, dicta que las solicitudes de emergencia deben “relacionarse con circunstancias que impliquen un peligro inminente de muerte o lesiones físicas graves para cualquier persona… por ejemplo, instancias en las que las fuerzas del orden creen que una persona está desaparecida y en peligro”. Y basándose en el hecho de que Apple cumplió con el 90 por ciento o más de las solicitudes de emergencia que recibió en 2019 y 2020, la empresa parece creer que muchas de las solicitudes enviadas en todo el mundo cumplen con este estándar. Todo lo cual sugiere que podría haber costos significativos para las empresas que deciden que ya no quieren responder a tales solicitudes, o incluso que responderían más lentamente después de verificar que las solicitudes no provienen de cuentas pirateadas.
Otra posibilidad sería que el Congreso legislara medidas de seguridad más estrictas para las solicitudes de datos de emergencia. El senador Ron Wyden le dijo a Krebs on Security que estaba solicitando información de empresas tecnológicas y agencias federales sobre solicitudes fraudulentas de datos de emergencia. Esta no es una preocupación totalmente nueva: Wyden y otros legisladores ya habían estado preocupados por la posibilidad de que los piratas informáticos falsificaran órdenes judiciales incluso antes de que se conociera la noticia reciente. En 2021, Wyden, junto con otros senadores, presentó la Ley de Autenticidad Digital para Órdenes Judiciales., que requeriría que los tribunales utilicen firmas digitales criptográficas al emitir órdenes judiciales para dificultar que los estafadores falsifiquen dichos documentos. Pero incluso si fuera aprobado por el Congreso, ese proyecto de ley no tendría efecto en las solicitudes de datos de emergencia, que no requieren una orden judicial, aunque es posible que también requieran firmas digitales.
Más importante aún, exigir firmas digitales no resolvería el problema de las cuentas gubernamentales y policiales comprometidas que se utilizan para emitir solicitudes de datos fraudulentas. Porque así como los piratas informáticos pueden robar credenciales y obtener acceso a las cuentas de correo electrónico de las fuerzas del orden, también podrían robar las credenciales necesarias para emitir firmas digitales. No existe una solución técnica fácil para este problema, y ??todas las soluciones no técnicas requieren tomarse el tiempo para verificar que la solicitud que recibe una empresa realmente proviene de la entidad que parece haberla enviado, un proceso que socava el propósito central de emergencia. solicitudes de datos para eludir el proceso de obtención de una orden judicial.
Como dijo el investigador de seguridad de Berkeley, Nicholas Weaver, en una entrevista con Krebs : “Es un problema fundamentalmente irreparable sin rehacer por completo la forma en que pensamos sobre la identidad en Internet a escala nacional”.
Hay países que han abordado el problema de cómo gestionar las identidades en línea a escala nacional. Por ejemplo, en Estonia, el gobierno emite una identidad digital para todos de la misma manera que otros países emiten pasaportes para ciudadanos. Pero Estados Unidos está muy lejos de un marco de identidad digital centralizado emitido por el gobierno que podría permitir a las empresas verificar la identidad de los remitentes de solicitudes de datos en línea. E incluso si existiera tal marco, aún podría ser susceptible de compromisos y robos.
Eso significa que probablemente seguirá dependiendo de las empresas individuales examinar las solicitudes de datos de emergencia que reciben y decidir si quieren responder. Simplemente no hay forma de responder a las solicitudes en línea de inmediato y también hacer un trabajo cuidadoso para verificar quién las envió en línea. Y cuando lo que está en juego es encontrar a una persona desaparecida o proteger a alguien que está en peligro inmediato, ese proceso de verificación puede no tener sentido, incluso si pudiera impedir que las empresas respondan a solicitudes fraudulentas. Es posible que en el futuro sean más cautelosos a la hora de proporcionar información en respuesta a estas solicitudes y eso puede ser algo bueno si las solicitudes fraudulentas de datos de emergencia van en aumento.
Pero es difícil ver cómo las empresas podrían decidir dejar de responder a tales solicitudes por completo, o incluso implementar un proceso de investigación que requiere mucho tiempo para establecer su autenticidad, dada la urgencia de estas solicitudes. Al final, es muy posible que responder a algunas solicitudes fraudulentas se considere un precio razonable a pagar por poder ayudar a las fuerzas del orden público en situaciones de emergencia, y es muy posible que el cálculo sea correcto.
Fuente: Slate