Site icon Sophos News

T-Mobile admite el robo de 37.000.000 de registros de clientes por un “actor malintencionado”

El proveedor de telefonía móvil estadounidense T-Mobile acaba de admitir que ha sufrido una brecha de seguridad, en un formulario conocido como 8-K que se presentó 19 de enero 2023 ante la Comisión del Mercado de Valores (SEC).

La propia SEC describe el formulario 8-K como “el informe que las empresas deben presentar […] para anunciar acontecimientos importantes que los accionistas deben saber”.

Estos acontecimientos  incluyen cuestiones como la quiebra o la administración judicial (punto 1.03), infracciones de seguridad en las minas (punto 1.04), cambios en el código ético de una organización (punto 5.05) y una categoría general, utilizada habitualmente para informar de problemas relacionados con la TI, denominada como Otros Acontecimientos (punto 8.01).

El Otro Suceso de T-Mobile se describe del siguiente modo:

El 5 de enero de 2023, T-Mobile US […] identificó que un actor malintencionado estaba obteniendo datos a través de una única Interfaz de Programación de Aplicaciones (“API”) sin autorización. Inmediatamente iniciamos una investigación con expertos externos en ciberseguridad y, al día siguiente de conocer la actividad maliciosa, pudimos rastrear su origen y detenerla. Nuestra investigación sigue en curso, pero la actividad maliciosa parece estar totalmente contenida en este momento.

En pocas palabras: los delincuentes encontraron una forma de entrar desde el exterior, utilizando simples conexiones basadas en la web, que les permitieron recuperar información privada de los clientes sin necesidad de nombre de usuario ni contraseña.

T-Mobile indica en primer lugar el tipo de datos que cree que no consiguieron los atacantes, que incluye datos de tarjetas de pago, números de la Seguridad Social (SSN), números de identificación fiscal, otros identificadores personales como permisos de conducir o documentos de identidad expedidos por el gobierno, contraseñas y PIN, e información financiera como datos de cuentas bancarias.

Esa es la buena noticia.

La mala noticia es que, al parecer, los delincuentes entraron el 25/11/2022 (irónicamente, el Black Friday, el día después de Acción de Gracias en EE.UU.) y no se fueron con las manos vacías.

Mucho tiempo para el saqueo

Al parecer, los atacantes tuvieron tiempo suficiente para extraer y hacerse con al menos algunos datos personales de unos 37 millones de usuarios, tanto de prepago como de pospago, incluyendo nombre, dirección de facturación, correo electrónico, número de teléfono, fecha de nacimiento, número de cuenta de T-Mobile e información como el número de líneas de la cuenta y las características del plan.

Curiosamente, T-Mobile describe oficialmente esta situación con las siguientes palabras:

Actualmente no hay pruebas de que el malhechor haya podido violar o poner en peligro nuestros sistemas o nuestra red.

Puede que los clientes afectados (y tal vez los reguladores pertinentes) no estén de acuerdo en que 37 millones de registros de clientes robados, entre los que se incluyen especialmente dónde vives y tus datos de nacimiento, puedan considerarse ni una violación ni un compromiso.

T-Mobile, como recordarás, pagó la friolera de 500 millones de dólares en 2022 para resolver una brecha que sufrió en 2021, aunque los datos robados en ese incidente incluían información como el número de Seguro Social y datos del carné de conducir.

Ese tipo de datos personales suele dar a los ciberdelincuentes más posibilidades de llevar a cabo robos de identidad graves, como pedir préstamos en tu nombre o hacerse pasar por ti para firmar algún otro tipo de contrato, que si “solo” tienen tus datos de contacto y tu fecha de nacimiento.

¿Qué hacer?

No tiene mucho sentido sugerir a los clientes de T-Mobile que tengan más cuidado del habitual a la hora de detectar correos electrónicos poco fiables, como estafas de phishing que parecen “saber” que son usuarios de T-Mobile.

Al fin y al cabo, los estafadores no necesitan saber con qué compañía de telefonía móvil estás para adivinar que probablemente utilizas uno de los principales proveedores, y estafarte de todos modos.

En pocas palabras, si decides tomar nuevas precauciones contra el phishing específicamente a causa de esta brecha, estaremos encantados de oírlo pero esas precauciones son comportamientos que deberías adoptar de todos modos.

Así que repetiremos nuestros consejos habituales, que merecen la pena seguir tanto si eres cliente de T-Mobile como si no:

Exit mobile version