La empresa estadounidense de telecomunicaciones AT&T ha sufrido un ciberataque que afecta a todos los usuarios de la red móvil. Los hechos y comentarios de los expertos.
El gigante estadounidense de las telecomunicaciones AT&T anunció en los últimos días que había sido víctima de un ciberataque, descubierto el pasado mes de abril, que podría afectar no sólo a todos los usuarios de la red móvil de la empresa, sino también a sus interlocutores desprevenidos.
Los hechos
“ Según nuestra investigación, los datos comprometidos conciernen a casi todos los usuarios de la red celular de AT&T, los de los operadores virtuales [Nota del editor: llamados MVNO] que utilizan la red móvil de AT&T y los usuarios de la red fija de AT&T que se comunicaron con los mencionados anteriormente. usuarios entre el 1 de mayo y el 31 de octubre de 2022 ”
El reportado es un extracto del escueto comunicado con el que el operador telefónico estadounidense AT&T, el 12 de julio, hizo pública la violación de datos de la que fue víctima.
Los ciberdelincuentes no penetraron en los sistemas corporativos controlados directamente por la empresa, sino que lograron acceder a sus datos a través del proveedor que proporciona servicios en la nube a AT&T.
Aunque el nombre no se indica oficialmente en el comunicado de prensa oficial, el operador de servicios en la nube Snowflake habría declarado ser la entidad en cuestión que originó la filtración de datos.
En la comunicación enviada a la SEC, AT&T afirmó que los datos robados no contendrían información personal ni información relacionada con el contenido de los mensajes intercambiados, sino que solo incluirían el número de llamadas intercambiadas entre usuarios y el tiempo total de llamadas o mensajes intercambiados. además del número de teléfono de los usuarios involucrados.
Pero la propia AT&T, en el comunicado de prensa, se adelanta al destacar lo fácil que es rastrear la identidad de los usuarios a partir de sus números de teléfono.
Y según Jake Williams , ex hacker de la NSA y ahora consultor de Infosec, los ciberdelincuentes pueden haber utilizado datos robados en filtraciones de datos anteriores para rastrear las identidades de los usuarios a partir de sus números de teléfono.
Otros expertos agravan la situación al plantear la hipótesis de que al menos una parte de los datos robados contiene datos técnicos de las estaciones de radio base a las que estaban conectados los usuarios de móviles, información que, mediante triangulaciones adecuadas, podría permitirnos rastrear la posición aproximada desde la que fue la conversación que tuvo lugar.
La compañía ha puesto a disposición de sus usuarios un servicio para comprobar si se encuentran entre los implicados en la filtración de datos. De ser así, tienen hasta diciembre de 2024 para descargar el registro de tráfico que habría sido objeto de la filtración.
El impacto del accidente.
Incluso si la filtración de datos no establece ningún registro – muy lejos de las cifras atribuidas al incidente denominado Mother of All Data Breach, que hizo públicos 26 mil millones de registros – el incidente aún tiene un impacto no despreciable considerando que sólo los usuarios de la red AT&T mobile Los teléfonos rondan los 250 millones a los que hay que sumar los de los operadores virtuales y los fijos implicados.
La lista de operadores NVMO que utilizan la red de AT&T es bastante extensa e incluye, entre otros, los operadores Black Wireless, Boost Infinite, Consumer Cellular, Cricket Wireless, FreedomPop, FreeUp Mobile, Good2Go, H2O Wireless, PureTalk, Red Pocket, Straight. Talk Wireless, TracFone Wireless, Unreal Mobile y Wing.
AT&T es la última organización, por orden cronológico, en ser víctima de las filtraciones de datos que afectaron a las empresas clientes del operador de servicios en la nube Snowflake.
Según Bloomberg , las vulnerabilidades de Snowflake también provocaron anteriormente fugas de datos en Ticketmaster, Santander, Neiman Marcus y LendingTree.
Porque la filtración recién está surgiendo
Tal y como informa la propia nota de prensa de la compañía, la filtración fue descubierta el pasado mes de abril. En el comunicado enviado a la SEC, AT&T precisó la fecha del descubrimiento, fijándola en el 19 de abril de 2024, e informó que había informado a las autoridades competentes, que había tomado medidas para remediar el agujero de seguridad que permitió la filtración y que había creado un equipo de expertos en ciberseguridad para investigar el incidente.
El retraso en hacer público el incidente sería consecuencia de la confidencialidad exigida por el Departamento de Justicia y el FBI, a quienes se encomendó la investigación del incidente.
De hecho, como confirma Patrick Schaumont, profesor del Instituto Politécnico de Worcester, incidentes de este tipo se consideran problemas de seguridad nacional porque potencialmente permitirían reconstruir la red de contactos vinculados a cualquier usuario que trabaje o esté involucrado de otro modo en actividades relacionadas. a la seguridad nacional.
Según se informó en el comunicado de prensa de la propia AT&T, las investigaciones han llevado, por ahora, a la detención de una persona cuyos datos no han sido revelados.
Sin embargo, según el sitio 404media , la detención en Turquía del ciudadano estadounidense John Binns, un hacker implicado anteriormente en un ataque al operador T-Mobile, está relacionada con la filtración de datos en cuestión.
Sin embargo, tanto AT&T como el FBI, contactados por la prensa, no confirmaron si las investigaciones sobre el accidente habían concluido ni revelaron los motivos por los que ahora era posible hacer público el accidente.
Por el mismo motivo, no se proporcionó información sobre el potencial grupo cibercriminal que habría realizado el ataque.
Según un informe de Mandiant de junio, muchas de las violaciones de datos que afectan a los usuarios de los servicios en la nube del proveedor Snowflake fueron obra del grupo de ciberdelincuentes identificados con el acrónimo UNC5537, que lograron apoderarse de credenciales válidas de Snowflake también gracias a la ausencia. de mecanismos de protección del usuario (MFA) de dos niveles.
Los antecedentes de la empresa AT&T
No hace falta remontarse demasiado para encontrar otros incidentes y violaciones de datos que involucran a AT&T: el pasado 30 de marzo, o apenas unos días antes de que la compañía tuviera conocimiento de esta violación de datos, la compañía había publicado un comunicado de prensa para advertir de una otra infracción que involucra a 73 millones de usuarios.
Por ello, las advertencias recogidas en los mismos comunicados de alerta de fuga de datos con los que la compañía AT&T recuerda a los usuarios buenas prácticas para no poner en riesgo su privacidad y no ser víctimas de intentos de phishing parecen casi burlonas.
Esta es una traducción automática de una publicación publicada en StartMag en la URL https://www.startmag.it/cybersecurity/at-t-attacco-informatico/ el Mon, 15 Jul 2024 05:49:48 +0000.