Este artículo fue producido en colaboración con Court Watch, un medio independiente que descubre registros judiciales pasados por alto.
El FBI investigó a un hombre que presuntamente se hizo pasar por un policía en correos electrónicos y llamadas telefónicas para engañar a Verizon y obtener datos telefónicos de una persona específica a la que el sospechoso conoció en la sección de citas de la página pornográfica xHamster, según un registro judicial recientemente desclasificado. A pesar de la historia de portada relativamente implausible inventada por el sospechoso, que incluía el uso de una dirección de correo electrónico claramente no gubernamental de ProtonMail, Verizon entregó los datos de la víctima al presunto acosador, incluida su dirección y registros telefónicos. El acosador luego amenazó a la víctima y terminó conduciendo hacia donde creía que vivía la víctima armado con un cuchillo, según el registro.
La noticia es un fracaso masivo de Verizon, que no verificó que la solicitud de datos fuera fraudulenta, y la empresa puso potencialmente en riesgo la seguridad de alguien. La noticia también destaca el uso ahora común de solicitudes de datos de emergencia fraudulentas (EDR) o órdenes de registro en el inframundo digital, donde los delincuentes fingen ser agentes del orden, inventan un escenario urgente como un secuestro, y luego convencen a las empresas de telecomunicaciones o tecnología para entregar datos a los que solo se debería tener acceso a través de solicitudes legítimas de fuerzas del orden. Como informó anteriormente 404 Media, algunos hackers están utilizando cuentas de correo electrónico gubernamentales comprometidas con este propósito.
“Este caso demuestra la importancia de que cada solicitud esté documentada y sea verificable”, dijo Matt Donahue, fundador de Kodex, una empresa que actúa como intermediario entre las fuerzas del orden y las gigantes tecnológicas para verificar solicitudes de datos de clientes, en un correo electrónico a 404 Media.
Una captura de pantalla del registro judicial.
Robert Michael Glauner está acusado de acoso y un cargo de fraude relacionado con “la obtención de información confidencial de registros telefónicos de una entidad cubierta”, según la denuncia penal presentada en su contra en el Distrito Este de Carolina del Norte. Glauner presuntamente intentó obtener registros telefónicos confidenciales relacionados con una víctima nombrada en el registro judicial como MGD.
Glauner conoció a MGD en xHamster alrededor de agosto o septiembre, según la denuncia. La pareja tuvo una relación romántica en línea, que MGD luego terminó. Glauner siguió intentando contactar a MGD y luego escaló más hacia finales de septiembre, continúa la denuncia.
La denuncia alega que una parte de Verizon llamada Equipo de Cumplimiento de Órdenes Judiciales del Equipo de Asistencia de Seguridad de Version (o VSAT CCT) recibió un correo electrónico de [email protected].
“Aquí está el archivo pdf para la orden de registro”, escribió Glauner, presuntamente haciéndose pasar por un detective de policía, en el correo electrónico. “Necesitamos los datos de este teléfono celular lo antes posible para localizar y detener a este sospechoso. También necesitamos el nombre completo de este suscriptor de Verizon y el nuevo número de teléfono que se le ha asignado. Gracias.”
El archivo adjunto mismo dice que fue escrito por un “Detective Steven Cooper del Departamento de Policía de Cary, NC”, y afirma que el propietario del número de teléfono estaba en la escena de un homicidio. “Dos testigos presenciales describen a la sospechosa femenina huyendo de la escena momentos después de que ocurriera el crimen. Ahora mi superior y yo creemos que un miembro de nuestro departamento de policía está comprometido por la sospechosa. Y la oficina del alguacil también puede estarlo.”
Presuntamente, Glauner luego escribió “el viernes 22 de septiembre la sospechosa cambió el número de teléfono de Verizon” y pidió “todos los datos de teléfonos celulares” para el número específico. (El agente especial del FBI Michael Neylon, que firmó la denuncia, parece haber editado solo el número de teléfono de la víctima en algunas secciones y no en otras; por esa razón, 404 Media no está publicando el registro completo del tribunal). La orden parece estar firmada por un juez.
Una captura de pantalla del registro judicial.
Según la denuncia contra Glauner, esta “orden de registro” no estaba correctamente formateada y no incluía un formulario adicional que se requiere para órdenes de registro en Carolina del Norte. Eso, y el Departamento de Policía de Cary confirmó que no hay ningún Steven Cooper empleado con la agencia, dice el documento. La jueza que supuestamente firmó el documento, Gale Adams, vio el documento y le dijo a los investigadores que la firma tampoco era suya. Más notable de todo, el documento se envió con una dirección de correo electrónico de ProtonMail, que “no es una dirección de correo electrónico gubernamental oficial”, dice la denuncia.
Alrededor de una hora después de recibir el correo electrónico, el VSAT CCT de Verizon recibió una llamada telefónica de alguien que se identificó como el oficial de policía nombrado. “El llamante dijo que acababa de recibir información de un informante confidencial de que el ‘sospechoso’ en el caso de homicidio iba a huir a Puerto Rico y solicitó una prisa en la entrega de los datos”, continúa la denuncia.
📂
¿Sabes algo más sobre EDR y las empresas de telecomunicaciones o tecnología? Me encantaría saber de ti. Usando un dispositivo no relacionado con el trabajo, puedes mandarme un mensaje de forma segura en Signal al +44 20 8133 5190. De lo contrario, envíame un correo electrónico a [email protected].
Increíblemente, el 5 de octubre, Verizon proporcionó los datos telefónicos de MGD, que incluyeron su dirección y “registros telefónicos”, a Glauner, dice la denuncia. A lo largo de octubre, el VSAT CCT de Verizon recibió otras demandas por correo electrónico para datos, así como más llamadas telefónicas.
Luego, presuntamente, Glauner bombardeó a la madre de la víctima con mensajes de voz, intentando contactar a MGD, y también contactó al padre de MGD. Según el registro judicial, Glauner también contactó el lugar de trabajo de MGD durante varios días. Durante la investigación, las autoridades descubrieron que Glauner ya estaba siendo buscado por la Oficina del Sheriff de San Diego por un cargo de acoso. En ese caso anterior, un informe decía que la víctima había “cambiado su número de teléfono 4 veces en los últimos cuatro meses, pero de alguna manera [Glauner] sigue obteniendo su número”.
Luego, las cosas empeoraron cuando MGD recibió un largo y amenazante mensaje de texto de Glauner, en el que decía que se dirigía a Carolina del Norte. “Tal vez debería dar la vuelta, ir a tu casa y parar en Walmart o en algún lugar o, no sé, en Dicks Sporting Goods, ¿qué más, en el Big Five y recoger un maldito rifle y venir a tu casa, ¿cómo suena eso, maldición?”, leyó una sección del mensaje.
Las fuerzas del orden luego realizaron una vigilancia en la dirección a la que parecía dirigirse Glauner. Alrededor de las 9 p. m. llegó, y las autoridades lo arrestaron poco después. Glauner estaba en posesión de una “navaja plegable negra”, dice el registro. Cuando las autoridades registraron más tarde la Jeep que conducía Glauner, encontraron metanfetamina y dos paquetes de cuerda.
Richard Young, un portavoz de Verizon, dijo a 404 Media en un comunicado por correo electrónico que “Estamos cooperando con las autoridades en este asunto. Cualquier pregunta adicional debe ser dirigida a ellos”.
La Oficina del Fiscal de los Estados Unidos para el Distrito Este de Carolina del Norte se negó a hacer comentarios.
Verizon no es la única empresa de telecomunicaciones que ha fallado al verificar correctamente solicitudes como esta. En un caso algo similar, hablé con una víctima que fue acosada después de que alguien haciéndose pasar por un agente de la ley de los Estados Unidos engañó a T-Mobile para entregar la ubicación de su teléfono. T-Mobile “pudo en peligro mi vida”, dijo anteriormente la víctima, Ruth Johnson. John Edens, el hombre responsable, tenía antecedentes de acoso y violencia doméstica.
Actualización: esta pieza ha sido actualizada para incluir más información sobre un caso similar anterior.
Sobre el autor
Joseph es un galardonado periodista de investigación centrado en generar impacto. Su trabajo ha generado cientos de millones de dólares en multas, cerró empresas de tecnología y mucho más.