AT&T, uno de los operadores de telecomunicaciones y redes móviles más grandes y antiguos de Estados Unidos, ha perdido el control de los registros telefónicos de prácticamente todos sus clientes correspondientes a un período de seis meses en 2022, en medio de una serie de infracciones que siguen en expansión y que afectan a los clientes del especialista en datos en la nube Snowflake. En una presentación ante la Comisión de Bolsa y Valores (SEC), la empresa afirmó que se enteró por primera vez del incidente el 19 de abril de 2024, cuando un actor de amenazas afirmó haber accedido y copiado sus registros de llamadas. En ese momento, activó su proceso de respuesta a incidentes cibernéticos como respuesta. En su declaración a la SEC, AT&T dijo: “Basándose en su investigación, AT&T cree que los actores de amenazas accedieron ilegalmente a un espacio de trabajo de AT&T en una plataforma en la nube de terceros y, entre el 14 de abril y el 25 de abril de 2024, exfiltraron archivos que contenían registros de AT&T de interacciones de llamadas y mensajes de texto de clientes que ocurrieron entre aproximadamente el 1 de mayo y el 31 de octubre de 2022, así como el 2 de enero de 2023. “Los datos no contienen el contenido de llamadas o mensajes de texto, información personal como números de seguro social, fechas de nacimiento u otra información de identificación personal”, dijo la organización. “El análisis actual indica que los datos incluyen, durante estos períodos de tiempo, registros de llamadas y mensajes de texto de casi todos los clientes inalámbricos de AT&T y clientes de operadores de redes virtuales móviles (MVNO) que utilizan la red inalámbrica de AT&T. Estos registros identifican los números de teléfono con los que un número inalámbrico de AT&T o MVNO interactuó durante estos períodos, incluidos los números de teléfono de los clientes de telefonía fija de AT&T y los clientes de otros operadores, los recuentos de esas interacciones y la duración total de las llamadas durante un día o un mes. “Para un subconjunto de registros, también se incluyen uno o más números de identificación de sitio celular. Si bien los datos no incluyen los nombres de los clientes, a menudo hay formas, utilizando herramientas en línea disponibles públicamente, de encontrar el nombre asociado con un número de teléfono específico”, dijo. Los clientes de la empresa de telecomunicaciones pueden obtener más información sobre el incidente y los pasos que deben tomar ahora para protegerse de la posibilidad de ataques posteriores, navegando por su página de inicio de soporte. Los clientes afectados están en proceso de ser contactados. “La violación contra AT&T es enorme y ciertamente preocupará a cualquier cliente cuyos datos se hayan filtrado. Los clientes deben extremar las precauciones y estar atentos a posibles ataques de phishing u otros tipos de fraude. «Con el tipo de datos robados, el phishing por SMS podría ser particularmente frecuente», dijo el director senior de análisis de amenazas de Rapid7, Christiaan Beek. La conexión Snowflake En declaraciones a TechCrunch, la portavoz de AT&T, Angela Huguely, confirmó que el incidente surgió cuando los cibercriminales accedieron al entorno Snowflake de la empresa de telecomunicaciones. AT&T ahora se une a una lista creciente, que se cree que supera los 160, de clientes de Snowflake que han sido vulnerados recientemente, probablemente por un grupo de cibercriminales con motivaciones económicas rastreado por los investigadores de Mandiant como UNC5537. Esta lista incluye principalmente a empresas como Ticketmaster y Santander. La investigación de Snowflake ha atribuido estas infracciones a una falta de higiene de seguridad en las víctimas: los analistas han encontrado evidencia de malware de robo de información oculto en sistemas de contratistas externos utilizados para acceder a los sistemas de TI de las empresas comprometidas. AT&T no ha abordado este punto ni ha proporcionado ninguna información sobre si este fue o no el caso en su incidente. “Una organización es tan segura como su red de terceros más débil, y los protocolos de seguridad solo son efectivos si todos sus proveedores externos son igualmente seguros”, afirmó Beek de Rapid7. “Los cibercriminales son conscientes de esto e intentarán vulnerar el eslabón más débil de la cadena para obtener acceso a los sistemas y robar datos altamente confidenciales. La gran cantidad de información personal almacenada significa que es aún más importante que las cadenas de suministro estén protegidas”. Beek agregó: “Para proteger las cadenas de suministro, las organizaciones deben mantener un buen estándar de higiene cibernética, incluida la aplicación de la autenticación multifactor (MFA). Además, los dispositivos perimetrales de la red son los principales objetivos de los atacantes; por lo tanto, las vulnerabilidades críticas en estas tecnologías deben remediarse de inmediato”. La confusión abunda Sin embargo, ha habido confusión sobre la naturaleza precisa de las brechas relacionadas con Snowflake gracias a un grupo llamado ShinyHunters -también el operador del «servicio» de filtración de datos BreachForums recientemente interrumpido- que ha afirmado repetidamente que estaba detrás de los incidentes y que sí hackeó los sistemas de Snowflake. A mediados de junio, un representante del colectivo ShinyHunters afirmó a través de una entrevista con Wired que accedió a los clientes de Snowflake a través de una brecha del contratista con sede en Bielorrusia EPAM. Como en todos los casos en los que los actores de amenazas hablan públicamente, estas afirmaciones deben tratarse con sumo escepticismo, y el propio EPAM ha refutado las afirmaciones de ShinyHunters, diciendo que había sido el objetivo de una campaña de desinformación. La verdadera naturaleza de los incidentes en curso probablemente solo se aclarará en el futuro después de múltiples investigaciones paralelas. MFA por defecto A principios de esta semana, Snowflake promulgó un importante cambio de política diseñado para ayudar a los clientes a mantener la seguridad de sus entornos cuando reforzó su oferta de MFA. Las políticas mejoradas se basan en tres pilares: aviso, que anima a los usuarios a adoptar la MFA; cumplimiento, que permite a los administradores habilitar la MFA de forma predeterminada; y supervisión, que comprueba qué usuarios no han configurado la MFA. En el futuro, se solicitará a los usuarios individuales de Snowflake que habiliten la MFA y se les guiará por el proceso. Si bien podrán ignorar el aviso, volverá a aparecer después de 72 horas si no se realiza ninguna acción. Mientras tanto, los administradores podrán aprovechar una nueva opción que requiere la MFA para todos los usuarios de una cuenta, cuyo alcance se puede aplicar solo a los usuarios locales o también a los usuarios de inicio de sesión único. Finalmente, Snowflake ha puesto a disposición un paquete de escaneo para buscar el cumplimiento de la MFA y la política de red de forma predeterminada y gratuita en todas las ediciones. Javvad Malik, principal defensor de la concienciación sobre seguridad en KnowBe4, dijo: «Es bueno saber que Snowflake está habilitando la MFA de forma predeterminada. Desde una perspectiva de protección de cuentas, la MFA es probablemente uno de los controles individuales más efectivos que se pueden implementar. “Dados todos los ataques contra las cuentas, incluido el robo de credenciales, más organizaciones deberían habilitar la autenticación multifactor de forma predeterminada”.