En un reciente artículo de Wired, Kim Zetter informa sobre un importante incidente de ciberseguridad que involucra a AT&T en Estados Unidos y al grupo de hackers ShinyHunters. Este grupo logró acceder ilegalmente y copiar registros de llamadas de decenas de millones de clientes de AT&T entre mayo y octubre de 2022, así como algunos registros de enero de 2023. El ataque se produjo a través de una plataforma de almacenamiento en la nube de terceros, específicamente Snowflake, que no estaba debidamente asegurada.
El 19 de abril de 2024, AT&T descubrió que un actor malicioso había accedido ilegalmente y copiado registros de llamadas. Inmediatamente, AT&T activó su proceso de respuesta a incidentes, contratando a expertos externos en ciberseguridad para ayudar en la investigación. Según el informe presentado ante la Comisión de Bolsa y Valores (SEC, por sus siglas en inglés), el acceso no autorizado se produjo en un espacio de trabajo de AT&T en una plataforma de nube de terceros, y los archivos exfiltrados contenían registros de interacciones de llamadas y mensajes de texto entre el 1 de mayo y el 31 de octubre de 2022, así como del 2 de enero de 2023.
El incidente se hizo público solo después de que el Departamento de Justicia de los Estados Unidos determinara que era necesario retrasar la divulgación pública para evaluar los posibles riesgos para la seguridad nacional y la seguridad pública, dice AT&T en un comunicado. Esta es la primera vez que el Departamento de Justicia solicita a una empresa retrasar la presentación de una divulgación ante la SEC debido a preocupaciones de seguridad nacional.
El hacker, miembro de ShinyHunters, exigió inicialmente un millón de dólares a AT&T, pero finalmente aceptó un pago de 300.000 dólares en bitcoins para eliminar los datos robados. Wired confirmó la transacción utilizando herramientas de rastreo de blockchain. Además, la investigación de AT&T reveló que los datos comprometidos incluían números de teléfono, la cantidad de interacciones y la duración de las llamadas, pero no los contenidos de las llamadas o mensajes de texto, ni información personal como números de Seguro Social o fechas de nacimiento.
AT&T dice haber implementado medidas de ciberseguridad adicionales para cerrar el punto de acceso ilegal y habría notificado a los clientes afectados. La compañía también está colaborando con las fuerzas del orden para arrestar a los responsables del incidente. De hecho, se ha informado que al menos una persona relacionada con la brecha ha sido detenida. A pesar de la seriedad del ataque, AT&T informó que el incidente no ha tenido un impacto material en sus operaciones ni se espera que afecte significativamente su situación financiera.
Este no es el primer incidente de seguridad que enfrenta AT&T. En marzo de 2024, la empresa también sufrió un ataque en el que se liberó en la web oscura información personal de 73 millones de clientes actuales y anteriores, incluyendo números de Seguro Social. Aunque este incidente no estaba relacionado con la brecha en Snowflake destaca la vulnerabilidad continua de AT&T a los ataques cibernéticos, y de otros operadores de Estados Unidos y otras regiones que también han sufrido este tipo de incidentes.
La información de la brecha reciente incluye registros de llamadas y mensajes de texto de casi todos los clientes celulares de AT&T y clientes de proveedores inalámbricos que usaron su red entre el 1 de mayo y el 31 de octubre de 2022. Estos registros incluyen el número de teléfono de cada cliente, los números con los que se comunicaron, la cantidad de veces que interactuaron y la duración de las llamadas. Importante, aunque AT&T aseguró que los datos robados no incorporaban el contenido de las llamadas o mensajes de texto ni la hora exacta de estas comunicaciones.
