El proveedor de telefonía móvil estadounidense T-Mobile acaba de admitir que ha sufrido una brecha de seguridad, en un formulario conocido como 8-K que se presentó 19 de enero 2023 ante la Comisión del Mercado de Valores (SEC).
La propia SEC describe el formulario 8-K como “el informe que las empresas deben presentar […] para anunciar acontecimientos importantes que los accionistas deben saber”.
Estos acontecimientos incluyen cuestiones como la quiebra o la administración judicial (punto 1.03), infracciones de seguridad en las minas (punto 1.04), cambios en el código ético de una organización (punto 5.05) y una categoría general, utilizada habitualmente para informar de problemas relacionados con la TI, denominada como Otros Acontecimientos (punto 8.01).
El Otro Suceso de T-Mobile se describe del siguiente modo:
El 5 de enero de 2023, T-Mobile US […] identificó que un actor malintencionado estaba obteniendo datos a través de una única Interfaz de Programación de Aplicaciones (“API”) sin autorización. Inmediatamente iniciamos una investigación con expertos externos en ciberseguridad y, al día siguiente de conocer la actividad maliciosa, pudimos rastrear su origen y detenerla. Nuestra investigación sigue en curso, pero la actividad maliciosa parece estar totalmente contenida en este momento.
En pocas palabras: los delincuentes encontraron una forma de entrar desde el exterior, utilizando simples conexiones basadas en la web, que les permitieron recuperar información privada de los clientes sin necesidad de nombre de usuario ni contraseña.
T-Mobile indica en primer lugar el tipo de datos que cree que no consiguieron los atacantes, que incluye datos de tarjetas de pago, números de la Seguridad Social (SSN), números de identificación fiscal, otros identificadores personales como permisos de conducir o documentos de identidad expedidos por el gobierno, contraseñas y PIN, e información financiera como datos de cuentas bancarias.
Esa es la buena noticia.
La mala noticia es que, al parecer, los delincuentes entraron el 25/11/2022 (irónicamente, el Black Friday, el día después de Acción de Gracias en EE.UU.) y no se fueron con las manos vacías.
Mucho tiempo para el saqueo
Al parecer, los atacantes tuvieron tiempo suficiente para extraer y hacerse con al menos algunos datos personales de unos 37 millones de usuarios, tanto de prepago como de pospago, incluyendo nombre, dirección de facturación, correo electrónico, número de teléfono, fecha de nacimiento, número de cuenta de T-Mobile e información como el número de líneas de la cuenta y las características del plan.
Curiosamente, T-Mobile describe oficialmente esta situación con las siguientes palabras:
Actualmente no hay pruebas de que el malhechor haya podido violar o poner en peligro nuestros sistemas o nuestra red.
Puede que los clientes afectados (y tal vez los reguladores pertinentes) no estén de acuerdo en que 37 millones de registros de clientes robados, entre los que se incluyen especialmente dónde vives y tus datos de nacimiento, puedan considerarse ni una violación ni un compromiso.
T-Mobile, como recordarás, pagó la friolera de 500 millones de dólares en 2022 para resolver una brecha que sufrió en 2021, aunque los datos robados en ese incidente incluían información como el número de Seguro Social y datos del carné de conducir.
Ese tipo de datos personales suele dar a los ciberdelincuentes más posibilidades de llevar a cabo robos de identidad graves, como pedir préstamos en tu nombre o hacerse pasar por ti para firmar algún otro tipo de contrato, que si “solo” tienen tus datos de contacto y tu fecha de nacimiento.
¿Qué hacer?
No tiene mucho sentido sugerir a los clientes de T-Mobile que tengan más cuidado del habitual a la hora de detectar correos electrónicos poco fiables, como estafas de phishing que parecen “saber” que son usuarios de T-Mobile.
Al fin y al cabo, los estafadores no necesitan saber con qué compañía de telefonía móvil estás para adivinar que probablemente utilizas uno de los principales proveedores, y estafarte de todos modos.
En pocas palabras, si decides tomar nuevas precauciones contra el phishing específicamente a causa de esta brecha, estaremos encantados de oírlo pero esas precauciones son comportamientos que deberías adoptar de todos modos.
Así que repetiremos nuestros consejos habituales, que merecen la pena seguir tanto si eres cliente de T-Mobile como si no:
- No hagas clic en enlaces “útiles” de correos electrónicos u otros mensajes. Aprende de antemano cómo acceder a las páginas oficiales de todos los servicios online que utilices. (¡Sí, eso incluye las redes sociales!) Si ya conoces la URL correcta que debes utilizar, nunca tendrás que confiar en enlaces que puedan haber sido suministrados por un estafador, ya sea en correos electrónicos, mensajes de texto o llamadas de voz.
- Piensa antes de hacer clic. No siempre es fácil detectar los enlaces fraudulentos, entre otras cosas porque incluso los servicios legítimos suelen utilizar docenas de nombres de sitios web diferentes. Pero al menos algunas estafas, si no muchas, incluyen el tipo de errores que una empresa auténtica normalmente no cometería. Como sugerimos en el punto 1, intenta evitar hacer clic, pero si lo haces, no tengas prisa. Lo único peor que caer en una estafa es darse cuenta después de que, si solo te hubieras tomado unos segundos más para pararte a pensar, habrías detectado el engaño fácilmente.
- Informa de los correos sospechosos al equipo informático de tu trabajo. Aunque seas una pequeña empresa, asegúrate de que todo tu personal sabe dónde enviar muestras de correos electrónicos maliciosos o informar de llamadas telefónicas sospechosas (por ejemplo, podrías establecer una dirección de correo electrónico para toda la empresa, como ciberseg112@ejemplo.com). Los estafadores rara vez envían un solo correo electrónico de phishing a un solo empleado, y rara vez se rinden si falla su primer intento. Cuanto antes dé alguien la alarma, antes podrás avisar a los demás.