Los piratas informáticos siempre buscan nuevas formas de robar información confidencial. A veces quieren robar información específica. Pero incluso la información personal de personas aleatorias es potencialmente valiosa para su reventa en la dark web.
Debido a esto, casi todas las empresas tienen algo que los piratas informáticos quisieran tener en sus manos. Ya sea para reventa, acoso o simplemente entretenimiento, todas las empresas ahora son objetivos potenciales para el robo de datos.
Las solicitudes de datos de emergencia falsas a menudo se utilizan para este propósito. Entonces, ¿qué son las solicitudes de datos de emergencia y cómo las utilizan los piratas informáticos?
¿Qué son las solicitudes de datos de emergencia?
Una solicitud de datos de emergencia es lo que usa el gobierno cuando quiere recuperar información de una empresa privada. Estas solicitudes son avisos legales legítimos enviados por los departamentos de policía de todo el país.
La mayoría de las empresas las han recibido y están legalmente obligadas a responder a ellas. Si bien las leyes de privacidad impiden que se divulgue información personal en otras circunstancias, las empresas no tienen otra opción cuando se les entrega una orden judicial, lo que hace que esta sea una técnica atractiva para que la utilicen los piratas informáticos.
¿Cómo utilizan los piratas informáticos "solicitudes de datos de emergencia" falsas?
El problema con las solicitudes de datos de emergencia es que no son necesariamente difíciles de falsificar. La mayoría de las empresas tampoco cuentan con expertos legales.
El destinatario simplemente mirará de dónde vino la solicitud. Si parece ser de un departamento de policía, a menudo proporcionarán la información solicitada.
Debido a esto, los piratas informáticos ahora envían solicitudes de datos de emergencia falsas a cualquier empresa de la que quieran robar información.
Las direcciones de correo electrónico pueden ser falsificadas, pero este método es tan efectivo que muchos hackers van más allá. Están pirateando los departamentos de policía y luego usan los servidores de la policía para enviar solicitudes de datos. Estas solicitudes parecen legítimas porque son legítimas.
El problema se intensifica porque las redes del departamento de policía no siempre son tan seguras como la gente quisiera. Los piratas informáticos pueden enviar solicitudes de datos desde cualquier departamento de policía, incluidos los departamentos pequeños con recursos de TI limitados.
¿Por qué son tan efectivas las solicitudes de datos de emergencia falsos?
Las solicitudes falsas de datos de emergencia son muy efectivas. También es fácil entender por qué una empresa cumpliría con uno. Hay serias repercusiones legales por ignorar una solicitud válida. La mayoría de las empresas tampoco están al tanto de la estafa, por lo que no tienen motivos para sospechar que están hablando con alguien, excepto con la policía.
como muchas estafas, las solicitudes falsas de datos de emergencia también dependen de que la víctima sienta una sensación de urgencia. Las solicitudes a menudo incluyen una nota que establece que la persona investigada es una amenaza grave y puede causar daño a otros. Esto anima a la víctima a cumplir con la solicitud incluso si sospecha de su origen.
¿Cuáles son las consecuencias de estas estafas?
Por lo general, las empresas que caen en estas estafas no son procesadas, ya que no divulgaron información confidencial voluntariamente y, en cambio, obedecieron lo que creían que era una solicitud legal.
Sin embargo, las principales víctimas de esta estafa son los propietarios de la información personal que se ha divulgado. Según el tipo de datos publicados, pueden sufrir robo de identidad, acoso en línea y posible secuestro de cuenta.
La reputación de una empresa también puede verse afectada si se hace público un ataque exitoso. Es poco probable que a la persona cuyos datos fueron robados le importe cómo sucedió.
¿Qué está haciendo el gobierno para prevenir EDR falsos?
Este tipo de ataque se está volviendo tan común que el gobierno está intentando aprobar un proyecto de ley que exigiría que todas las solicitudes de datos de emergencia se estar firmado digitalmente. La estafa es posible porque estos avisos son fáciles de replicar. Potencialmente, esto haría que cualquier solicitud fuera más fácil de verificar.
Además del hecho de que aún no se ha implementado, el problema con este enfoque es que las empresas aún deben conocer la nueva ley. Las firmas digitales no son beneficiosas si nadie las busca.
Otra posible solución es exigir que todas las solicitudes de datos de emergencia se envíen desde un solo órgano de gobierno. Al mantener todo en un solo departamento, sería mucho más fácil hacer cumplir fuertes estándares de seguridad y evitar el acceso no autorizado.
El problema con este enfoque es que causaría un retraso significativo cada vez que un oficial de policía quiera enviar una solicitud de este tipo con un propósito legítimo. Dada la importancia de estos avisos y el hecho de que la urgencia suele estar realmente presente, es posible que esta tampoco sea una solución aceptable.
Cómo protegerse contra solicitudes de datos de emergencia falsas
En lugar de confiar en una legislación que aún no se ha aprobado, las empresas deberían hacer todo lo posible para protegerse. Pueden mantenerse a salvo siguiendo estas dos medidas preventivas:
Lea todas las solicitudes cuidadosamente
Las solicitudes de datos de emergencia falsos varían ampliamente en términos de calidad. Si recibe un EDR, siempre busque errores. La dirección de correo electrónico es el lugar obvio. Compruebe si hay pequeñas variaciones ortográficas que indiquen una suplantación de identidad por correo electrónico.
Si ha recibido solicitudes de datos de emergencia genuinas en el pasado, compárelas. Busque frases extrañas que puedan indicar que un hablante no nativo escribió el correo electrónico. Además, verifique si hay errores de formato o un logotipo de baja calidad que pueda ser el resultado de Photoshop.
Cualquier persona que envíe un EDR debe incluir su nombre y su lugar de trabajo. Comuníquese directamente con su departamento y asegúrese de que alguien allí haya hecho la solicitud. Esto detiene la estafa inmediatamente.
El problema es que muchas empresas asumen automáticamente que la solicitud es válida y no ven ninguna razón para hacerlo. Es importante tener en cuenta que los atacantes son conscientes de esta posibilidad e incluirán sus propios datos de contacto. Por lo tanto, debe buscar en línea y encontrar los datos de contacto usted mismo.
Las empresas deben tomar esta amenaza en serio
Muchas estafas en línea no atraen la atención del gobierno. El hecho de que los funcionarios del gobierno ahora estén discutiendo EDR falsos es una fuerte indicación de su capacidad para causar daño.
Cualquier negocio en posesión de información privada, que ahora es casi todos los negocios, debe ser consciente del problema y actuar en consecuencia cuando se recibe un EDR. Hacerlo requiere paciencia y puede parecer innecesario, pero es la única forma de evitar caer en esta estafa.
Todo lo que necesitas saber sobre la Operación Aurora
Leer siguiente
Temas relacionados
- Seguridad
- La seguridad cibernética
- Seguridad de datos
Sobre el Autor
Elliot es un escritor tecnológico independiente. Principalmente escribe sobre fintech y ciberseguridad.
Suscríbete a nuestro boletín
¡Únase a nuestro boletín para obtener consejos técnicos, reseñas, libros electrónicos gratuitos y ofertas exclusivas!
Haga clic aquí para suscribirse