Cuando «Товарищ Майор» resulta ser falso: cómo los abogados corporativos «regalan» tus direcciones a anónimos en Interne

En el mundo está creciendo un esquema en el que doxers se hacen pasar por agentes de policía y, mediante "solicitudes de emergencia", obligan a grandes empresas a revelar datos privados de personas en cuestión de minutos. Así, el 4 de septiembre una empleada del centro jurídico de Charter Communications recibió por correo electrónico una solicitud urgente supuestamente del oficial Jason Kors del despacho del alguacil de Jacksonville y rápidamente proporcionó el nombre, la dirección particular, los teléfonos y el correo electrónico de la "víctima", pero el mensaje en realidad lo envió un integrante del grupo que vende doxing como servicio.

El interlocutor de WIRED bajo el seudónimo Exempt afirma que su grupo sabe extraer esos datos de casi todas las grandes empresas tecnológicas estadounidenses, incluidas Apple y Amazon, así como de plataformas menos masivas como Rumble. En el caso de Charter, según él, todo tomó alrededor de 20 minutos, y normalmente no le preocupa el destino de la persona cuyos datos quedaron en manos de los atacantes.

Según Exempt, en los últimos años pudo haber logrado hasta 500 solicitudes exitosas. Para corroborarlo, entregó a WIRED materiales que denomina capturas de pantalla de correos, citaciones falsas y respuestas de empresas, así como una grabación de una conversación con el equipo de una de las compañías que intentaba verificar la solicitud. Además mostró señales de que un funcionario en activo de las fuerzas de seguridad podría haber contactado con el grupo, supuestamente ofreciendo presentar solicitudes desde su cuenta a cambio de una parte de las ganancias.

La mecánica parece aterradoramente simple: a los atacantes les basta obtener una dirección IP y luego intentan "vincularla" a una identidad, obtener datos de contacto y usarlos como base para nuevas solicitudes. Exempt afirma abiertamente que, con una citación y una orden, se puede acceder a información mucho más sensible, como mensajes privados, textos, registros de llamadas, es decir, prácticamente a "toda la vida" de la persona, y lo que lo decide todo es la rapidez de la respuesta de la empresa.

En EE. UU. las solicitudes oficiales de la policía y de otras agencias suelen llegar por correo electrónico, y los grandes servicios cuentan con equipos que deben responder a ellas. Además existen las "emergency data requests" — solicitudes de emergencia que se presentan ante la amenaza de un daño inminente o de muerte y que a menudo eluden etapas adicionales de verificación, porque las empresas se apresuran a ayudar a "salvar una vida". Precisamente ese resquicio es el que aprovechan los doxers.

Complica la situación que en el país hay alrededor de 18.000 agencias de seguridad separadas con dominios y normas de denominación de direcciones distintos, por lo que puede ser difícil filtrar un correo electrónico "parecido al real". Exempt describe dos enfoques principales: usar buzones de correo policiales reales comprometidos mediante ingeniería social o filtraciones, o registrar dominios muy parecidos. En la historia de Jacksonville, afirma, el grupo compró el dominio jaxsheriff.us en lugar del legítimo jaxsheriff.org, cambió el número de teléfono por el del departamento y usó números de placa y nombres reales de oficiales para que el receptor no sospechara.

Según él, los documentos falsos se hacen lo más verosímiles posible: toman modelos de citaciones reales de registros públicos, insertan las formulaciones "correctas" y referencias a normativas, y a veces incluso verifican si el juez indicado se encuentra en el edificio del tribunal ese día. Exempt también afirma que su grupo pudo obtener los datos de registro de la cuenta de Rumble perteneciente al activista ultraderechista británico Tommy Robinson.

Incluso cuando las empresas intentan verificar esas solicitudes, es posible eludirlo. En una de las grabaciones que Exempt entregó a WIRED, un representante del equipo de Amazon para solicitudes de las fuerzas de seguridad llamó al número que figuraba en el correo y habló con el propio Exempt, confirmando la recepción de los documentos. Amazon respondió que detectó y bloqueó el intento de suplantación de las fuerzas de seguridad, aunque el atacante llegó a obtener datos básicos de menos de 10 clientes; tras eso la empresa "tomó rápidamente medidas de protección" y añadió nuevas barreras, pero no dio más detalles.

Otro problema es que algunas instrucciones para solicitudes de emergencia parecen casi una receta: en el texto se muestra un ejemplo de cómo Apple describe el procedimiento de divulgación voluntaria de datos en una situación de emergencia mediante un formulario específico y el envío desde una dirección "oficial". Exempt mostró a WIRED un ejemplo de solicitud a Apple con una citación falsa y la respuesta que, según él, contenía la dirección particular del titular de iCloud, su número de teléfono y su correo electrónico.

Una capa adicional de riesgo la crea la infraestructura "para mayor comodidad" — por ejemplo, una base de datos que mantiene la organización sin ánimo de lucro SEARCH y en la que se recopilan contactos directos de las unidades de enlace con las fuerzas de seguridad de cientos de proveedores y servicios en línea. El exagente del FBI Matt Donahue, que tras dejar la agencia fundó la empresa Kodex, considera que la raíz del problema es que el correo electrónico no fue creado para ese nivel de verificación de identidad y contexto, y que es más seguro trabajar a través de portales protegidos. No obstante, según la estimación de Kodex, más del 80% de las empresas de la base aún aceptan solicitudes de emergencia por correo electrónico.

Pero los portales tampoco garantizan una protección absoluta. Exempt afirma que durante un tiempo pudo presentar solicitudes a través de Kodex usando correos policiales comprometidos, pero luego perdió el acceso debido a mecanismos reforzados como la vinculación a dispositivos de confianza. Ahora, según él, el grupo está negociando con el subjefe del alguacil de una oficina grande la posibilidad de alquilar una cuenta de Kodex o presentar solicitudes "desde su parte" a cambio de un porcentaje y con la condición de eliminar sus datos de un conocido sitio de doxing; como prueba mostró una captura de una conversación con una imagen borrosa que identifica como una credencial.

Donahue subraya que este tipo de solicitudes se sitúan en la intersección de la privacidad, la seguridad, la ley y los derechos civiles, y que la velocidad de la respuesta a veces puede de verdad decidir el destino de una persona, por lo que la mecánica no se reduce a una "negligencia de minutos". También afirma que Kodex es capaz de rastrear cambios sospechosos en el comportamiento de los usuarios y detectar abusos no solo mediante una verificación puntual, sino también a través del análisis de comportamiento.