Brecha de Seguridad en AT&T Afecta a la Mayoría de sus Clientes Inalámbricos
El gigante de telecomunicaciones estadounidense AT&T ha confirmado recientemente una brecha de seguridad que ha comprometido los datos de la mayoría de sus clientes inalámbricos, así como los de los operadores móviles virtuales (MVNO) que utilizan su red. Esta intrusión, que tuvo lugar entre el 14 y el 25 de abril de 2024, permitió a actores maliciosos acceder a un espacio de trabajo de AT&T en una plataforma de nube de un tercero y exfiltrar archivos que contenían registros de llamadas y mensajes de texto de sus clientes.
Detalles del Incidente
Los registros comprometidos abarcan interacciones telefónicas y de mensajes de texto que ocurrieron entre el 1 de mayo y el 31 de octubre de 2022, así como el 2 de enero de 2023. Estos datos incluyen números telefónicos, tanto de clientes inalámbricos de AT&T como de MVNOs, así como números de teléfono de clientes de líneas fijas de AT&T y otros operadores. Adicionalmente, algunos de estos registros contienen números de identificación de sitios celulares, lo que podría permitir a los atacantes triangular la ubicación aproximada de un cliente durante las llamadas o mensajes de texto.
Impacto y Respuesta
AT&T ha declarado que notificará a los clientes actuales y anteriores afectados por esta brecha. Además, ha confirmado que los datos comprometidos no incluyen el contenido de las llamadas o mensajes, ni información personal sensible como números de Seguro Social o fechas de nacimiento. Sin embargo, menciona que a través de herramientas públicas disponibles en línea, es posible vincular un número telefónico específico con un nombre.
La compañía detectó el incidente el 19 de abril de 2024 y de inmediato activó sus esfuerzos de respuesta. Colabora estrechamente con las autoridades para capturar a los responsables, de los cuales al menos uno ha sido detenido.
Recomendaciones para los Usuarios
AT&T insta a sus usuarios a ser precavidos con posibles ataques de phishing y smishing, recomendando abrir mensajes de texto solo de remitentes de confianza. Los clientes afectados pueden solicitar una lista de los números de teléfono comprometidos en sus interacciones.
Contexto del Ataque
La plataforma en la nube implicada, que no fue identificada por AT&T, fue posteriormente confirmada por Snowflake. Este acceso no autorizado forma parte de una serie de hackeos más amplios que han afectado a diversas organizaciones como Ticketmaster, Santander, Neiman Marcus y LendingTree. Google Mandiant ha atribuido esta campaña cibernética a un actor de amenazas financieras conocido como UNC5537, que opera en América del Norte y colabora con un miembro en Turquía.
Durante la investigación, se ha revelado que los atacantes obtuvieron acceso utilizando credenciales de Snowflake robadas, disponibles en servicios del mercado negro. Este acceso se consiguió a través de un contratista externo, EPAM Systems.
Medidas de Mitigación y Pagos de Rescate
Snowflake ha anunciado nuevas medidas de seguridad, incluyendo la autenticación multifactor (MFA) obligatoria para todos los usuarios, y esta se aplicará por defecto en todos los nuevos cuentas.
En una actualización reciente, se ha informado que AT&T pagó a los actores maliciosos $370,000 en criptomonedas para eliminar la copia de los datos robados y obtener una prueba en video de su eliminación. La cantidad se pagó en mayo, según miembros del grupo de hackers conocido como ShinyHunters, responsables de explotar las cuentas de almacenamiento de Snowflake no aseguradas.
La Comisión Federal de Comunicaciones de los Estados Unidos (FCC) ha indicado que existe una investigación en curso sobre la brecha de AT&T y que están coordinando esfuerzos con las autoridades correspondientes.
Para más detalles, refiérase a las fuentes oficiales de AT&T y Snowflake.
Fuentes:
- AT&T: Actualización de la brecha de datos
- Bloomberg: Detalle del hackeo de Snowflake
- SEC: Notificación de AT&T al SEC
- Wired: Pago de rescate por AT&T
- Snowflake Blog: Medidas de seguridad de Snowflake
Fuente: https://thehackernews.com/2024/07/at-confirms-data-breach-affecting.html