Desde hace años, hay personas que se hacen pasar por policías en Internet para conseguir que las empresas entreguen información personal increíblemente delicada. Un reportaje de 404 Media reveló recientemente que Verizon entregó la dirección y los registros telefónicos de una persona a un acosador que se hacía pasar por policía y tenía un PDF de una orden judicial falsa. Peor aún, el impostor no era especialmente convincente. A su solicitud le faltaba un formulario que se exige para las órdenes de registro de su estado. Utilizaba el nombre de un agente de policía que no existía en el departamento al que decía pertenecer. Y utilizó una cuenta de Proton Mail, que cualquier persona puede utilizar en Internet, en lugar de una dirección de correo electrónico oficial del gobierno.
Del mismo modo, los malos actores utilizaron cuentas de correo electrónico o nombres de dominio de organismos del orden público vulnerados para enviar órdenes judiciales falsas, citaciones o "solicitudes de datos de emergencia" (que la policía puede enviar sin supervisión judicial para obtener datos rápidamente en situaciones supuestamente de vida o muerte). Hacerse pasar por la policía para obtener información sensible de las empresas no es sólo cosa de acosadores y maltratadores domésticos; según Motherboard los cazarrecompensas y los cobradores de deudas también han utilizado esta táctica.
Tenemos dos grandes problemas entrelazados. El primero es el modelo de negocio de "recopilarlo todo" de demasiadas empresas, que crea enormes reservas de información personal almacenada en servidores de datos corporativos, listas para que la policía las confisque y los ladrones las roben. El segundo es que demasiadas empresas no evitan que los ladrones roben datos haciéndose pasar por policías.
Las empresas tienen que dificultar el acceso de falsos "agentes" a nuestros datos sensibles. Para empezar, deben examinar mejor las órdenes judiciales, las citaciones y las solicitudes de datos urgentes cuando llegan. Estos requisitos deben explicarse claramente en una política de privacidad pública, y todos los empleados que atienden solicitudes de datos de las fuerzas de seguridad deben recibir formación sobre cómo cumplir estos requisitos y detectar las solicitudes fraudulentas. Las solicitudes falsas de datos de emergencia suscitan especial preocupación, porque las reales dependen de la discreción tanto de las empresas como de la policía, dos partes con reputaciones poco estelares en cuanto a la valoración de la privacidad.