A veces, la diferencia entre un operador telco y un coloso en caída libre está en un simple archivo de texto sin cifrar. Así fue para SK Telecom, cuyo historial de ciberseguridad fue diseccionado públicamente por el gobierno surcoreano tras uno de los incidentes más graves en la historia del sector: la filtración de datos de hasta 26,96 millones de registros IMSI —lo que abarca prácticamente toda su base de usuarios móviles activos y otros dispositivos conectados—, incluidas claves de autenticación SIM que permiten la clonación de tarjetas.
El Ministerio de Ciencia y TIC no tuvo miramientos al calificar a SK Telecom de “negligente” con una gestión deficiente de credenciales, respuesta inadecuada a brechas anteriores no reportadas desde 2022, y ausencia de cifrado en información crítica. El ataque, iniciado silenciosamente en agosto de 2021 y descubierto el 19 de abril de 2025, reveló un ecosistema de seguridad donde los principios más básicos fueron ignorados. Para una empresa que lidera la implementación 5G en el mundo y pregona su visión de IA en redes, el contraste es doloroso.
La respuesta institucional no se limitó a una multa de impacto económico limitado —30 millones de wones, unos 22.000 dólares— por el reporte tardío del incidente. La verdadera sanción vino por otros caminos más significativos ya que el gobierno permitió que los clientes se dieran de baja sin pagar penalizaciones por ruptura de contrato, ordenó detener temporalmente la activación de nuevas líneas, y abrió una investigación adicional por posible violación de la orden de preservación de datos, al no poder inspeccionar todos los servidores involucrados.
Además, el operador fue obligado a entregar informes de seguimiento, a rediseñar toda su gobernanza de ciberseguridad —incluyendo la reestructuración del rol del CISO para reportar directamente al CEO— y a incluir un experto en ciberseguridad en su junta directiva.
A estas medidas se suma una inversión de 700.000 millones de wones —unos 514 millones de dólares— en tecnologías, talento y procesos de seguridad. Aunque anunciada por SK Telecom como parte de su nuevo “Information Protection Innovation Plan”, es difícil no interpretarla como una respuesta directa a la presión regulatoria y reputacional. Esta cifra no fue impuesta explícitamente por el gobierno, pero surge claramente como una forma de demostrar seriedad y evitar sanciones más severas. En ese sentido, la inversión funciona como una penalización sustancial orientada a restablecer la confianza del Estado y los consumidores.
En paralelo, SK Telecom desplegó un ambicioso paquete de reparación para clientes con descuentos del 50 por ciento en la factura de agosto, 50 GB adicionales mensuales hasta fin de año, reposición gratuita de SIMs para los nueve millones de usuarios que lo solicitaron, y protección automatizada mediante emparejamiento dispositivo-tarjeta. El paquete —extendido incluso a los clientes de sus MVNOs— tiene un costo estimado de 500.000 millones de wones —unos 367 millones de dólares—, al que se suman ajustes contables que reducen la previsión de ingresos de 2025 en otros 587 millones, según Reuters.
La reacción inicial de SK Telecom fue interpretada como ejemplar por muchos analistas y medios, dado su despliegue inmediato de medidas, su transparencia y su decisión de suspender voluntariamente la venta de nuevas SIMs. Sin embargo, a la luz de los resultados de la investigación gubernamental, queda claro que esa transparencia fue menos una elección y más una obligación.
SK Telecom no tenía margen para ocultar o desviar la atención. Tras años de negligencia acumulada y una brecha que afectaba a millones de usuarios, cualquier intento de minimizar el problema habría sido devastador para su reputación. Optar por una respuesta abierta no fue una muestra de virtud necesariamente —como inicialmente yo había pensado—, sino la única vía viable para contener el daño institucional y comercial.
Todo esto lleva a preguntarse: ¿cuántos operadores han atravesado incidentes similares sin que lleguemos a saberlo? Si compañías del calibre tecnológico y financiero de SK Telecom pueden quedar expuestas durante años sin detectarlo —o peor aún, sin reportarlo—, ¿qué puede esperarse de operadores más pequeños o de mercados emergentes donde los ARPU son significativamente más bajos y los recursos para ciberseguridad mucho más limitados?
Este caso, y otros como los de Estados Unidos, podría poner en tela de juicio no solo las capacidades técnicas de la industria, sino también sus incentivos y su cultura. ¿Son estos incidentes anomalías aisladas o la señal de un problema estructural más amplio que el sector ha preferido ocultar? A falta de transparencia generalizada, lo ocurrido con SKT debería ser interpretado no como un escándalo individual, sino como una alerta para toda la industria.
