Que un ciberdelincuente robe tus datos personales ya es grave. Que consiga colarse en el sistema que la policía usa para pedir esos datos directamente a Google es, sencillamente, de película. La compañía ha confirmado que un actor malicioso logró crear una cuenta fraudulenta en su Law Enforcement Request System (LERS), la plataforma que utilizan las fuerzas de seguridad de medio mundo para solicitar información de usuarios.
Por suerte, Google asegura que no se hicieron peticiones ni se accedió a datos. Pero el hecho de que se llegara a abrir esa puerta deja claro que la frontera entre seguridad pública y ataque digital es cada vez más difusa.
Cuando los atacantes se disfrazan de policía
La historia tiene nombres propios: “Scattered Lapsus$ Hunters”, un grupo que mezcla herederos de ShinyHunters, Scattered Spider y Lapsus$, con un currículum extenso en robo de datos de Salesforce y otras corporaciones. No hablamos de novatos, sino de grupos con experiencia en ingeniería social, suplantación y extorsión.
El problema es evidente: un acceso fraudulento a LERS o al sistema eCheck del FBI podría permitir a un atacante imitar a un juez o a una unidad policial y obtener datos sensibles que deberían estar blindados. Imagina subpoenas falsificadas con sello oficial, pero firmadas desde un sótano con Telegram abierto.
Google, el FBI y la guerra de narrativas
Mientras Google confirma el incidente y recalca que lo neutralizó a tiempo, el FBI ha optado por el silencio. La jugada encaja en un patrón: los grupos de cibercrimen ya no buscan solo dinero, también espectáculo. Publican capturas en foros, se burlan de agencias de inteligencia y juegan a la guerra psicológica tanto como a la digital.
Lo hemos visto antes con otros episodios de filtraciones masivas en los que las empresas intentan controlar el relato mientras los atacantes amplifican su “marca” en Telegram y BreachForums.
Por qué este caso importa más de lo que parece
Un error en un portal de este calibre es mucho más que un bug. La confianza en que las solicitudes judiciales online son auténticas es la base sobre la que descansa buena parte de la colaboración entre big tech y gobiernos. Si esa confianza se resquebraja, ¿qué queda?
Además, la filtración llega en un contexto donde los ciberdelincuentes ya habían demostrado que podían convertir herramientas legítimas (como Salesforce Data Loader) en armas para el robo sistemático de datos.
En otras palabras: no solo se infiltran en empresas; ahora intentan infiltrarse en la mismísima burocracia digital de la ley.
Lo que nadie te cuenta sobre esto
La gran ironía es que muchos gobiernos han presionado durante años a las tecnológicas para que faciliten acceso rápido a datos “cuando la policía lo requiera”. El resultado es un sistema centralizado, cómodo… y muy jugoso para los atacantes. Lo que debería ser un cortafuegos de legalidad se convierte, si alguien falsifica las credenciales, en una autopista sin peaje al espionaje privado.
¿Tú confiarías en que tu información personal está a salvo cuando incluso el portal de la policía puede ser hackeado?