CNN
AT&T reveló el viernes que los registros de llamadas y mensajes de texto de mediados a finales de 2022 de decenas de millones de clientes de teléfonos celulares de AT&T y muchos clientes no pertenecientes a AT&T fueron expuestos en una masiva brecha de datos.
AT&T dijo que los datos comprometidos incluyen los números de teléfono de “casi todos” sus clientes celulares y los clientes de proveedores inalámbricos que utilizan su red entre el 1 de mayo de 2022 y el 31 de octubre de 2022.
Los registros robados también contienen un registro de cada número al que los clientes de AT&T llamaron o enviaron mensajes de texto, incluyendo clientes de otras redes inalámbricas, la cantidad de veces que interactuaron y la duración de la llamada.
Es importante destacar que AT&T dijo que los datos robados no incluían el contenido de las llamadas y mensajes de texto ni la hora de esas comunicaciones.
Los registros de un “número muy pequeño” de clientes a partir del 2 de enero de 2023 también estaban implicados, según AT&T.
“Tenemos una investigación en curso sobre la brecha de AT&T y estamos coordinando con nuestros socios de cumplimiento de la ley”, dijo la FCC en la plataforma de redes sociales X.
La empresa culpó una “descarga ilegal” en una plataforma de nube de terceros que descubrieron en abril, justo cuando la empresa estaba lidiando con otra gran filtración de datos no relacionada.
AT&T dijo que los datos expuestos no se cree que estén disponibles públicamente, sin embargo, CNN no pudo verificar de forma independiente esa afirmación.
El portavoz de AT&T, Alex Byers, le dijo a CNN que este fue un incidente totalmente nuevo que no tenía “ninguna conexión de ningún tipo” con otro incidente divulgado en marzo. En aquel momento, AT&T dijo que se filtraron información personal como números de Seguro Social de 73 millones de clientes actuales y anteriores en la dark web.
“Lamentamos sinceramente que haya ocurrido este incidente y seguimos comprometidos a proteger la información que tenemos a nuestro cuidado”, dijo la empresa en un comunicado sobre la última brecha.
AT&T enumeró aproximadamente 110 millones de suscriptores inalámbricos para finales de 2022. AT&T dijo que las llamadas internacionales no se incluyeron en los datos robados, con la excepción de llamadas a Canadá.
La brecha también incluyó a los clientes de línea terrestre de AT&T que interactuaron con esos números de celular.
AT&T dijo que el contenido de las llamadas o mensajes de texto, así como la información personal como los números de Seguro Social, fechas de nacimiento o nombres de los clientes no se expusieron en este incidente, sin embargo, la empresa reconoció que las herramientas disponibles públicamente a menudo pueden vincular nombres con números de teléfono específicos.
Además, AT&T dijo que para un subconjunto no revelado de sus registros, uno o más números de identificación de sitios celulares vinculados a las llamadas y mensajes de texto también fueron expuestos. Dichos datos podrían revelar la ubicación geográfica amplia de una o ambas partes.
AT&T cree que al menos una persona involucrada en el incidente cibernético está bajo custodia, dijo la compañía en un informe a la Comisión de Valores y Bolsa. El FBI se negó a comentar cuando se le preguntó sobre esa declaración.
AT&T prometió notificar a los clientes actuales y anteriores cuya información estuvo involucrada y proporcionarles recursos para proteger su información.
Detalles de uso como la hora de las llamadas y mensajes de texto tampoco se vieron comprometidos. Pero el portavoz de AT&T, Byers, le dijo a CNN que el número de llamadas y mensajes de texto, y la duración total de las llamadas para días o meses específicos fueron expuestos.
Eso significa que los datos no identificarían exactamente cuándo un número de teléfono llamó a otro, pero podrían revelar cuántas veces dos partes se llamaron entre sí, y cuánto tiempo hablaron, en días específicos.
AT&T dijo que supo el 19 de abril que un “actor amenaza” afirmó haber accedido y copiado ilegalmente los registros de llamadas de AT&T. La empresa dijo que “inmediatamente” contrató expertos y una investigación posterior determinó que los hackers habían extraído archivos entre el 14 y el 25 de abril.
La compañía dijo que el Departamento de Justicia de EE. UU. determinó en mayo y en junio que se justificaba un retraso en la divulgación pública. El FBI dijo que AT&T se comunicó poco después de enterarse del hackeo, pero la agencia quería revisar los datos en busca de posibles riesgos para la seguridad nacional o pública.
“Al evaluar la naturaleza de la brecha, todas las partes discutieron un posible retraso en la divulgación pública… debido a los posibles riesgos para la seguridad nacional y/o la seguridad pública”, dijo el FBI en un comunicado. “AT&T, el FBI y el Departamento de Justicia trabajaron en colaboración a través del primer y segundo proceso de retraso, todo mientras compartían inteligencia clave sobre amenazas para fortalecer los intereses investigativos del FBI y para ayudar en la respuesta al incidente de AT&T”.
Este parece ser el primer incidente cibernético en el que el Departamento de Justicia ha pedido a una empresa que retrase la presentación de un informe con la SEC debido a posibles preocupaciones de seguridad nacional o pública.
“Esto es muy preocupante. Esta información es muy valiosa para los ciberdelincuentes y para los Estados nación”, dijo Sanaz Yashar, cofundadora y CEO de la empresa de ciberseguridad Zafran, a CNN.
Yashar, anteriormente un espía cibernético israelí, dijo que los actores amenaza pueden correlacionar los datos de identificación de la celda con otra información fácilmente disponible para precisar dónde trabaja alguien, incluidos lugares sensibles como la Casa Blanca y el Pentágono.
“No necesitas la marca de tiempo. Si alguien está allí todos los días, puedes entender que trabaja allí y su rutina. Esta es información muy secreta y una forma en que los espías hacen cosas”.
Justin Sherman, fundador de Global Cyber Strategies, una consultora, también describió la amenaza potencial en términos contundentes.
“Los metadatos sobre quién está comunicándose con quién, a gran escala, permiten a alguien mapear conexiones entre personas, piense en periodistas y fuentes, oficiales de inteligencia y sus contactos, personas casadas y las personas con las que mantienen una aventura”, dijo Sherman a CNN.
Jason Hogg, ex agente especial del FBI y actual ejecutivo residente en Great Hill Partners, dijo que los datos del sitio de celdas son “bastante significativos porque podrían permitir a los actores malintencionados determinar la geolocalización de ciertos consumidores, lo que podría usarse para hacer que los ataques de ingeniería social sean más creíbles”.
Las acciones de AT&T cayeron un 1% el viernes tras la noticia.
En el nuevo incidente, AT&T le dijo a CNN que supo en abril que los datos de los clientes fueron descargados ilegalmente de su espacio de trabajo en Snowflake, una plataforma de nube de terceros.
AT&T es solo la última empresa importante en la que se han robado datos a través del acceso a su plataforma Snowflake. Ticketmaster y Santander Bank también han revelado recientemente brechas masivas de datos vinculadas a Snowflake. Mandiant, una firma de ciberseguridad propiedad de Google, ha notificado a al menos 165 organizaciones que podrían haber sido afectadas por la ola de hackeos. Los analistas de Mandiant dijeron que tienen “confianza moderada” en que los hackers están basados en América del Norte y que colaboran con una persona adicional en Turquía.
Brad Jones, director de seguridad de la información de Snowflake, dijo a CNN en un comunicado separado que la compañía no ha encontrado evidencia de que esta actividad haya sido “causada por una vulnerabilidad, mala configuración o brecha de la plataforma de Snowflake”. Jones dijo que esto ha sido verificado por investigaciones de expertos en ciberseguridad de terceros en Mandiant y CrowdStrike.
AT&T dijo que lanzó una investigación, contrató expertos en ciberseguridad y tomó medidas para cerrar el “punto de acceso ilegal”.
Esta historia ha sido actualizada con contexto y desarrollos adicionales.