Hackers Burlan la Verificación y Acceden a la Plataforma LERS de Google para Suplantar a la Policía
Introducción
En un incidente que pone de manifiesto los riesgos inherentes a la gestión de plataformas de acceso restringido, Google ha confirmado que actores maliciosos lograron crear una cuenta fraudulenta en su sistema Law Enforcement Request System (LERS). Esta plataforma está diseñada para que las fuerzas y cuerpos de seguridad del Estado (FCSE) de todo el mundo puedan enviar solicitudes legales de datos a Google. El acceso no autorizado a LERS plantea serias preocupaciones sobre la integridad de los procesos de verificación y los posibles impactos en la privacidad y seguridad de los usuarios.
Contexto del Incidente
El Law Enforcement Request System (LERS) de Google es una interfaz crítica para la gestión de requerimientos legales relacionados con investigaciones criminales. Permite a la policía y a otras agencias gubernamentales solicitar datos de usuarios, historial de búsquedas, registros de cuentas y otra información sensible. El acceso está teóricamente limitado a personal autorizado tras un proceso de validación, en cumplimiento con normativas como GDPR y NIS2.
Según la información confirmada por Google, un actor externo logró sortear los controles de verificación y crear una cuenta falsa dentro de LERS. Este acceso podría haber permitido al atacante enviar solicitudes fraudulentas para la obtención de datos privados de usuarios, simulando ser una autoridad legítima. El incidente fue detectado y contenido antes de que se produjera una exfiltración masiva de datos, aunque Google no ha especificado el alcance exacto de la brecha ni el número de cuentas potencialmente comprometidas.
Detalles Técnicos
Aunque no se ha asignado todavía un CVE específico a este vector de ataque, el incidente se alinea con tácticas y técnicas recogidas por MITRE ATT&CK, concretamente T1078 (Valid Accounts) y T1199 (Trusted Relationship). La intrusión se habría producido mediante ingeniería social y la explotación de deficiencias en los procedimientos de onboarding y verificación de identidad dentro de LERS.
No se han publicado IoCs (Indicators of Compromise) específicos, pero fuentes cercanas a la investigación sugieren que los atacantes habrían utilizado credenciales falsificadas y posiblemente spoofing de direcciones de correo electrónico institucionales para superar los filtros automatizados y la revisión manual. No consta el uso de frameworks de explotación conocidos como Metasploit o Cobalt Strike, ya que la naturaleza del ataque fue más orientada a la suplantación de identidad que a la explotación de vulnerabilidades técnicas en el software.
Impacto y Riesgos
El riesgo principal radica en la posibilidad de que los atacantes pudieran haber solicitado datos confidenciales de usuarios de Google (Gmail, Drive, YouTube, etc.) mediante solicitudes legales fraudulentas. Aunque Google afirma que el incidente fue detectado rápidamente, no se ha hecho pública la cantidad de datos potencialmente expuestos ni el número de usuarios afectados.
Para las empresas, esto representa un vector de ataque de alto impacto: la manipulación de procedimientos legales legítimos para obtener acceso a información sensible sin activar controles internos de seguridad ni notificaciones a los usuarios. En términos de cumplimiento normativo, una filtración de datos de este tipo podría acarrear sanciones bajo el GDPR, así como obligaciones de notificación bajo NIS2 para operadores de servicios esenciales.
Medidas de Mitigación y Recomendaciones
Google ha reforzado los procedimientos de verificación de identidad para el acceso a LERS, implementando revisiones manuales adicionales y autenticación multifactor (MFA) obligatoria para todas las cuentas. Se recomienda a las empresas que gestionen portales de acceso restringido para terceros que:
– Revisen y refuercen los procesos de onboarding y validación de identidades.
– Implementen autenticación multifactor y alertas de comportamiento anómalo.
– Realicen auditorías periódicas de acceso y revisen logs en busca de patrones inusuales (por ejemplo, solicitudes desde ubicaciones o IPs no habituales).
– Formen a los equipos sobre riesgos de ingeniería social y suplantación de identidad.
– Establezcan canales de verificación fuera de banda para solicitudes especialmente sensibles.
Opinión de Expertos
Especialistas en ciberseguridad, como el analista principal de Mandiant, destacan que la suplantación de canales oficiales es una tendencia al alza entre grupos de amenazas avanzadas (APT), especialmente aquellos vinculados a ciberespionaje. Según datos de ENISA, los ataques a infraestructuras críticas mediante la manipulación de procedimientos legales han aumentado un 27% en el último año. «Las plataformas de respuesta a requerimientos legales son objetivos de alto valor y requieren controles más allá de los procesos automáticos habituales,» afirma un CISO de una gran telco europea.
Implicaciones para Empresas y Usuarios
El incidente subraya la importancia de validar la autenticidad de todas las solicitudes de información, incluso cuando proceden de canales supuestamente fiables. Para las empresas, es esencial revisar las políticas de cumplimiento y los procedimientos de notificación ante incidentes, así como reforzar la formación en seguridad para los equipos legales y de respuesta a incidentes.
Para los usuarios, el caso evidencia que, aunque las grandes tecnológicas disponen de mecanismos de control, ningún sistema es infalible. La transparencia y la notificación temprana de incidentes son clave para mantener la confianza y minimizar el impacto de posibles brechas.
Conclusiones
La brecha en la plataforma LERS de Google demuestra que los atacantes buscan cada vez más explotar procesos administrativos y legales, además de vulnerabilidades técnicas. El refuerzo de los controles de acceso, la capacitación continua y la colaboración entre departamentos legales y de ciberseguridad son imprescindibles para anticipar y mitigar este tipo de amenazas en un contexto regulatorio cada vez más exigente.
(Fuente: www.bleepingcomputer.com)