1 puntos por GN⁺ 2023-12-10 | 1 comentarios | Compartir por WhatsApp
  • Una falla en el proceso de atención de solicitudes de las fuerzas del orden permitió que Verizon Wireless entregara la dirección y el registro de llamadas de una víctima a alguien que se hizo pasar por policía
  • Robert Michael Glauner pidió información de la víctima usando una dirección de Proton Mail y una orden de cateo falsa, y Verizon no filtró la solicitud aunque no provenía de una comisaría ni de un dominio gubernamental
  • Los documentos falsificados incluían a un inexistente “Detective Steven Cooper” del departamento de policía de Cary y una firma falsificada de una jueza real, además de no incluir el formulario AOC-CR-119 obligatorio para órdenes de cateo en North Carolina
  • Después de que Verizon entregó la información el 5 de octubre de 2023, Glauner contactó repetidamente a la familia y al trabajo de la víctima y le envió mensajes amenazantes
  • Cuando datos sensibles de suscriptores se filtran con una sola solicitud falsificada, el acoso en línea puede convertirse en una amenaza física

Información de suscriptores de Verizon filtrada por una solicitud falsa de una autoridad

  • Verizon Wireless entregó la dirección y el historial telefónico de una mujer víctima a Robert Michael Glauner, quien se hizo pasar por policía
  • Después, Glauner fue arrestado cerca de la vivienda de la víctima y en ese momento llevaba un cuchillo
  • Según se reporta, obtuvo la dirección de la víctima y luego viajó de New Mexico a Raleigh, North Carolina
  • Antes de llegar, envió a la víctima un mensaje amenazante que decía “if I can’t have you no one can” y también fue acusado de amenazar con enviar fotos desnuda de la víctima a su familia
  • Glauner fue acusado en el Tribunal Federal del Distrito Este de North Carolina por acoso y fraude “relacionado con la obtención de registros telefónicos confidenciales”
  • El caso fue reportado previamente por 404 Media

Contacto continuo tras el fin de una relación en línea

  • Glauner y la víctima se conocieron en agosto o septiembre de 2023 en xhamster.com, un sitio pornográfico con función de citas, y mantuvieron una relación amorosa en línea
  • Incluso después de que la víctima terminara la relación, Glauner siguió contactándola o intentando contactarla
  • La solicitud enviada a Verizon fue dirigida a la dirección de correo del Verizon Security Assistance Team (VSAT), vsat.cct@one.verizon.com
  • VSAT es la organización que procesa solicitudes legales, y el sitio web de Verizon indica que trata de forma confidencial los requerimientos legales como órdenes judiciales, órdenes de cateo y citatorios, cumpliendo las leyes aplicables
  • La misma página indica que VSAT solo acepta requerimientos legales válidos para solicitudes de registros

Policía falso y orden de cateo falsificada

  • El 26 de septiembre de 2023 se envió un correo a Verizon desde la dirección steven1966c@proton.me
    • El correo decía que adjuntaba un PDF de una orden de cateo y que se necesitaban datos del celular “para localizar y arrestar al sospechoso”
    • También pedía el nombre completo del suscriptor de Verizon afectado y el número telefónico recién asignado
  • El documento adjunto incluía una declaración jurada falsa presentada como si hubiera sido elaborada por el “Detective Steven Cooper” del departamento de policía de Cary, North Carolina
    • La policía de Cary confirmó que no existe ningún agente llamado Steven Cooper en esa corporación
  • Ese mismo día, VSAT recibió una llamada de un hombre que se identificó como Cooper
    • Dijo que necesitaba información sobre un sospechoso de homicidio
    • También afirmó que la persona relacionada había cambiado de número telefónico
  • La declaración jurada falsa pedía el nuevo número telefónico, registros de llamadas entrantes y salientes, datos de ubicación y mensajes de texto entrantes y salientes
  • El documento mostraba como si la jueza del Tribunal Superior Gale Adams hubiera aprobado la orden de cateo
    • Adams sí es una jueza real, pero confirmó que la firma del documento no era suya
    • Esa supuesta “orden de cateo” tampoco incluía el formulario AOC-CR-119 requerido para órdenes de cateo en el estado de North Carolina

Los datos que entregó Verizon y las solicitudes posteriores

  • Después de revisar el correo y los documentos enviados por “Cooper”, Verizon entregó el 5 de octubre de 2023 los registros telefónicos de la víctima
    • Los registros entregados incluían la dirección y el historial de llamadas
  • Verizon no respondió de inmediato a las consultas sobre este caso, y un portavoz dijo a 404 Media que la empresa está cooperando con las autoridades
  • El 9 de octubre, VSAT volvió a recibir una llamada del supuesto “Officer Cooper”
    • La persona preguntó cómo leer los datos
    • Según el contenido de la llamada grabada, se confirmó que Glauner había recibido registros de Verizon Wireless
    • La persona también dijo que la suscriptora había cambiado su número y que él había conseguido el nuevo
  • Aun así, sigue siendo posible que Glauner no hubiera obtenido realmente el nuevo número en ese momento
    • VSAT siguió recibiendo correos en los que se pedía el número de la víctima y otra información
    • Otra “orden de cateo” exigía las coordenadas GPS de ese número y todas las fotos enviadas y recibidas

El contacto se extendió a la familia y al trabajo de la víctima

  • El 13 de octubre de 2023, la madre de la víctima recibió un mensaje de voz en el que Glauner intentaba comunicarse con la víctima
  • Del 13 al 22 de octubre, la madre de la víctima recibió 10 mensajes de voz de Glauner
    • En esos mensajes decía que no se detendría hasta lograr contactar a la víctima
  • El 16 de octubre, el padre de la víctima recibió un mensaje con una foto de la víctima y el texto “Do you know this girl?”
  • También se reporta que Glauner llamó repetidamente al negocio en Raleigh donde trabajaba la víctima
  • El 15 de octubre hubo una llamada de emergencia solicitando una verificación de bienestar en una dirección que aparentemente era la de la víctima, pero la policía que acudió concluyó que el reporte era falso
  • El 23 de octubre, la policía obtuvo una orden de cateo sobre una cuenta de Google vinculada al número telefónico usado por “Officer Cooper” para contactar a Verizon
  • La policía también confirmó que Glauner era buscado por la oficina del sheriff de San Diego por cargos de acoso contra una exnovia
    • El reporte policial del caso en California indicaba que la víctima “cambió su número telefónico 4 veces en los últimos 4 meses, pero de alguna forma Glauner seguía consiguiéndolo”

Arresto poco después de llegar a North Carolina

  • El 26 de octubre, la víctima en North Carolina consiguió un Tracphone para reducir las llamadas a sus amigos, familiares y empleador, y le dio ese número a Glauner
  • El 5 de noviembre, la víctima informó que había recibido aviso de que Glauner venía hacia North Carolina
    • Un mensaje de texto largo incluía contenido sobre conseguir armas y municiones, además de la amenaza “if I can’t have you no one can”
  • Temiendo por su vida y su seguridad, la víctima entregó a las autoridades la información de ubicación de Glauner mientras se desplazaba de New Mexico a Raleigh
  • El 6 de noviembre, la policía obtuvo una orden de arresto contra Glauner
    • Los cargos incluían extorsión por amenazar con divulgar imágenes desnuda de la víctima a su familia, acoso, ciberacoso y comunicaciones amenazantes
  • La policía vigiló la dirección a la que se dirigía Glauner mientras la víctima y su familia permanecían fuera de la casa durante la noche
  • Glauner llegó alrededor de las 9 p. m. del 6 de noviembre en una Jeep Cherokee con placas de New Mexico y fue arrestado
    • Se detuvo justo frente a la dirección en cuestión, luego entró al patio de la casa vecina y permaneció en una zona oscura
    • En el registro tras el arresto se encontraron un cuchillo negro plegable tipo navaja y dos teléfonos celulares
    • En la pantalla de bloqueo de uno de los teléfonos aparecía una imagen de la víctima, y en la pantalla se veía una notificación de mensaje de texto de “Victim 1”
  • En el registro de la Jeep Cherokee se encontraron una pipa de vidrio para metanfetamina, 8 g de una sustancia sospechosa de ser metanfetamina y dos paquetes nuevos de cuerda aún envueltos en plástico
  • Además de los cargos en North Carolina, Glauner fue acusado como Fugitive from Justice por una orden pendiente en California y quedó detenido en la cárcel del condado de Wake con una fianza de 550 mil dólares

1 comentarios

 
GN⁺ 2023-12-10
Comentarios de Hacker News
  • Falsificar órdenes judiciales es muy fácil. Verizon u otra empresa no tiene forma de saber qué formato usa un condado específico entre los más de 1,700 condados de EE. UU.
    Las citaciones federales tienen un formato unificado y son más fáciles todavía porque se presentan en secreto. Verizon no puede llamar a la oficina del secretario del tribunal y preguntar: “¿de verdad un gran jurado emitió una citación?”, y el documento no tiene ninguna característica de seguridad, solo papel común de fotocopia. Si esto se vuelve conocido, parece probable que aumente. También es bastante fácil presentar una demanda de menor cuantía y conseguir que emitan una citación, y normalmente nadie va a moverse para anularla. Las citaciones civiles tardan un poco más que las penales y hay que pagar el costo de la notificación, pero eso no es una gran barrera

    • Verizon sí puede hacer una llamada de verificación. La citación debería incluir información de contacto, y Verizon puede validar que ese contacto sea legítimo y luego comunicarse directamente para confirmar la autenticidad de la citación
      Esto también ocurre en el sector salud, y como las sanciones por responder a solicitudes falsas son mucho más graves, al personal médico se le capacita para hacer este tipo de verificación. HIPAA no perdona que hayas divulgado información protegida por HIPAA porque te engañaron
      https://www.hipaaexams.com/blog/medical-record-subpoena
    • Espera, ¿de verdad estas órdenes llegan como impresiones en papel?
      ¿O sea que una orden oficial que le instruye a una telefónica entregar datos privados de comunicaciones no llega como un archivo con firma digital verificable fácilmente con la clave pública de la autoridad emisora, sino como pigmento sobre una delgada pulpa de madera?
    • No sé quién determinó que “Verizon no puede llamar a la oficina del secretario del tribunal y preguntar ‘¿de verdad un gran jurado emitió una citación?’”. No conozco ninguna regla o ley que prohíba al destinatario de una citación verificar su legitimidad con el tribunal
      Siempre hay alguien que puede presentar una moción para anular una citación: el propio destinatario. Normalmente pueden hacerlo dos partes: el destinatario y la contraparte. En las citaciones federales, las reglas para anularlas vienen escritas en la propia citación
      https://www.uscourts.gov/sites/default/files/ao088b.pdf
      Además, hay muchísimas leyes y precedentes judiciales que pueden aplicar para obtener registros telefónicos. Dependiendo de lo que se haya solicitado, quizá ni siquiera se necesite una citación
    • Una orden de cateo no es una citación secreta, y al menos siempre debería poder verificarse que la persona que la emitió realmente existe y tiene esa autoridad
      Me gustaría pensar que también se podrían verificar el número de identificación y los detalles clave, pero no puedo afirmarlo con certeza porque solo conozco el sistema legal alemán y no el de EE. UU.
    • Decir que falsificar una orden judicial es fácil es como decir que es fácil falsificar una carta de estafa de un príncipe nigeriano. Verizon debería sentir mucha vergüenza por esto. La solicitud original vino de una cuenta de Proton y hasta tenía errores de ortografía y gramática infantil
      No sé cómo lo maneja Verizon internamente, pero tengo un amigo que trabaja en el “equipo de respuesta a solicitudes de las fuerzas del orden” de una empresa FAANG. Esa empresa recibe una cantidad enorme de solicitudes legales para entregar información, muchas solicitudes falsas y muchas solicitudes reales del gobierno que aun así se cuestionan por sospechosas. Por eso responden con procedimientos y tecnología muy minuciosos. Verizon es la mayor operadora móvil de EE. UU.; podría tener suficiente capacidad en esta área como para no parecer un circo improvisado total
  • Que Verizon haya publicado tal cual su respuesta de cajón de “estamos cooperando con las fuerzas del orden en este asunto” quizá era un caso en el que debieron ajustarla un poco
    En realidad no da risa, pero aun así es bastante gracioso. Trabajo medio tiempo en un ISP regional pequeño, y me ha tocado gestionar dos solicitudes legales. Cuando llegó la primera, no sabía cómo autenticarla y me puse a pensarlo; nuestro procedimiento terminó siendo descartar toda la información de contacto que viniera en la orden y buscar nuevos contactos en una fuente confiable para verificar por teléfono. En ambos casos los encontramos en el sitio web oficial del estado. Si Verizon hubiera usado ese procedimiento, probablemente habría detectado este caso. El Departamento de Policía de Cary confirmó que no existe ningún oficial llamado Steven Cooper

    • Emitir una orden de cateo falsa probablemente sea un delito, así que es cierto que Verizon estaría cooperando con las fuerzas del orden respecto de ese problema
  • Sorprende que el principal método para verificar si era una orden aprobada por un juez sea revisar una firma que se puede falsificar fácilmente

    • Solo falsificar la firma de un juez ya puede llevarte a prisión. En la mayoría de los estados, hacerse pasar por un policía también. Al buscar a una mujer de esta manera, este acosador básicamente se aseguró él mismo un viaje a la cárcel
      Hay muchos casos en que acosadores hacen cosas realmente aterradoras y aun así no reciben penas de prisión. Pero eso varía mucho según el estado y, sorprendentemente, no en todos los estados se considera delito grave; al menos en uno de ellos, para que lo sea tiene que haber intención de obtener un beneficio mediante la autoridad atribuida
    • Esto parece una responsabilidad del gobierno. En otras áreas aunque sea un poco importantes se usan sistemas de autenticación mejores y más avanzados, pero los gobiernos de todo el mundo siguen dependiendo de las firmas
      Bastaría con una hoja de papel, un correo electrónico, o un método de verificación en línea con una contraseña para consultar datos de autenticación en el sitio web del tribunal, o incluso un número automatizado de teléfono o una dirección de correo para verificarlo en línea
  • Recuerdo vagamente una escena parecida en la serie Mr. Robot
    Le encargaban localizar a una persona de interés usando un número de celular, y creo que suplantaban o intervenían una línea de fax de la NYPD. Falsificaban los documentos que usa la NYPD para pedirle datos a una telefónica, los enviaban por fax y esperaban la respuesta. Definitivamente es más elegante que mandar documentos falsificados desde una dirección de Proton Mail, pero al final es el mismo método
    Lo encontré: https://youtu.be/AdHE5Nss4HI?si=b4Et34pHKx8p1uP9
    Viéndolo, parece que usan Wi‑Fi público para mantener el anonimato y falsifican el número de fax de la NYPD para que parezca más creíble. Debería volver a ver esa serie

  • Sorprende que el correo incluso incluyera la firma predeterminada de Proton, “sent with Proton Mail secure email”. Aunque se pueda entender que no lo detectaran en el campo del remitente, cuesta comprender por qué eso no se vio como una señal de alerta
    Tampoco sorprendería que la respuesta fuera que la policía usa cuentas personales de forma rutinaria para este tipo de cosas

    • Trabajé al lado de la oficina del equipo encargado de contacto con las fuerzas del orden en una telefónica, así que escuché muchas llamadas y conversaciones. Todos eran expolicías y tenían una tendencia muy fuerte a entregar cualquier cosa que les pidieran. Francamente, tampoco eran muy agudos
    • Kevin Mitnick ya enseñaba hace décadas que, en cualquier entorno, el eslabón más débil son las personas. La ingeniería social es muchísimo más fácil de lo que uno imagina
    • También puede ser que nadie lea ni mire las firmas de correo
    • También es posible que lo hicieran así a propósito para filtrar a los agentes con alta conciencia de seguridad
  • Más allá de lo absurda que es la historia original, lo que más me sorprendió fue la parte donde la víctima y Glauner se conocieron en hamster.com, un sitio porno con función de citas, y comenzaron una relación romántica en línea
    No sabía que la función de citas de un sitio porno pudiera no ser, en sí misma, un intento de estafa o phishing

    • Algunos creadores de contenido de OF usan plataformas como esa para promocionar su contenido
  • Este tipo de falsificación es muy común
    Funciona todavía mejor si le añades presión por urgencia, es decir, que se trata de una cuestión de vida o muerte, y mencionas las leyes y castigos que aplicarían si no se procesa rápido, además de las leyes y castigos por divulgarlo. Entonces le toca a algún pobre abogado decidir qué hacer. Los casos expuestos son solo la punta del iceberg, y la escala real debe asumirse como mucho mayor
    Dan ganas de culpar a Verizon o a otras instituciones, pero el punto central es que esta forma de tramitar órdenes simplemente no encaja con la era de internet. Como falsificar documentos suele ser un delito común, mandar órdenes por correo físico era relativamente seguro. Se podía rastrear al criminal mediante la dirección de remitente y similares. Pero en internet la situación cambia. Alguien en otro país, o casi anónimo, puede falsificar una orden y enviarla con un costo cercano a cero. Un formato realista puede conseguirse fácilmente en una comisaría hackeada y, a veces, incluso acceso al correo electrónico. El equilibrio entre costo, beneficio y riesgo se ha movido a favor del atacante, y tampoco ayuda que la mayoría de los países intenten procesar estas solicitudes cada vez más rápido

  • De aquí en adelante, por culpa de la IA, los delincuentes podrán falsificar todos los aspectos de estas estafas de una manera difícil de creer
    Eso incluye formatos, escuelas de derecho falsas, sitios web falsos de escuelas, sitios web falsos de servicios legales y reseñas falsas. Cada vez hará falta más recursos para verificar incluso un detalle menor

  • Por eso te miran raro si dices que no quieres entregar información personal

  • Da la impresión de que este tipo de correos deberían llevar una firma PGP

    • ¿Cómo se establecería que una clave PGP concreta está siendo usada por una parte con autoridad, con credenciales oficiales y para un propósito válido?
      Si hubieras dicho S/MIME, tendría sentido porque existe la infraestructura de autoridades certificadoras X.509. Pero PGP con web of trust (WoT) es una herramienta totalmente equivocada aquí
    • El sistema de confianza de PGP está obsoleto, así que probablemente no habría ayudado mucho en este caso