El timo de la "emergencia policial": así engañan los hackers a Apple y Amazon para que les den tus datos en 20 minutos
Cibercriminales usan solicitudes policiales falsas para que Apple y Amazon les entreguen direcciones y teléfonos de usuarios sin orden judicial
Los hackers han encontrado una grieta absurda en la seguridad de las grandes tecnológicas: no necesitan romper ningún código, solo fingir que son policías. Aprovechando un mecanismo legal diseñado para salvar vidas, están engañando a los equipos legales de Apple, Amazon o Meta para que les entreguen datos privados de usuarios alegando una urgencia de vida o muerte totalmente inventada.
Lo cuentan en TechSpot y la historia da miedo por lo simple que es. Usan las Solicitudes de Datos de Emergencia (EDR), un trámite que permite saltarse la orden judicial si hay peligro inminente. Al recibir la alerta, las compañías entran en pánico y entregan direcciones físicas, teléfonos e IPs en cuestión de 20 minutos, cayendo en una trampa de ingeniería social de manual.
Una placa falsa y mucha prisa
El truco está en la puesta en escena. Los atacantes comprometen cuentas de correo oficiales de la administración o falsifican documentos legales con un realismo que asusta. Es una versión "pro" de esas estafas que son complicadas de detectar porque suplantan a la Policía Nacional para engañarte a ti, solo que aquí las víctimas son los departamentos legales de Silicon Valley, que deberían estar mucho más preparados.
Detrás de esto hay grupos organizados haciendo caja con tu privacidad. Un hacker conocido como "Exempt" presume de haber enviado cientos de estas solicitudes para vender la información al mejor postor, un modelo de negocio sucio que recuerda a la estafa triangular que roba tus datos para alimentar bases de datos delictivas. No buscan hackear el servidor, buscan que el servidor les abra la puerta amablemente.
El fallo es puramente humano: la urgencia anula el protocolo. Ante un aviso de "riesgo de muerte", nadie quiere ser el empleado que retrasó la ayuda por ponerse exquisito comprobando un papel. Aunque hay formas de distinguir un correo verdadero de la Policía, la presión del momento funciona igual que en el timo de "hemos recibido tu currículum": la autoridad fingida baja todas las defensas.
Y ojo, porque aunque no les den tu contraseña, lo que consiguen es suficiente para arruinarte el día: obtienen tu nombre real, dónde vives y tu IP, un pack perfecto para extorsionarte o acosarte. Las empresas prometen más controles, pero mientras no haya un sistema unificado para verificar estas peticiones al instante, basta una placa falsa y un poco de prisa para desnudar tu privacidad.