El proveedor estadounidense de servicios de telecomunicaciones AT&T ha confirmado que los actores de amenazas lograron acceder a los datos pertenecientes a «casi todos» sus clientes inalámbricos, así como a los clientes de los operadores de redes virtuales móviles (MVNO) que utilizan la red inalámbrica de AT&T. «Los actores de amenazas accedieron ilegalmente a un espacio de trabajo de AT&T en una plataforma en la nube de terceros y, entre el 14 y el 25 de abril de 2024, exfiltraron archivos que contenían registros de AT&T de interacciones de llamadas y mensajes de texto de clientes que ocurrieron entre aproximadamente el 1 de mayo y el 31 de octubre de 2022, así como el 2 de enero de 2023», dijo. Esto incluye números de teléfono con los que interactuó un número inalámbrico de AT&T o MVNO, incluidos los números de teléfono de los clientes de telefonía fija de AT&T y los clientes de otros operadores, recuentos de esas interacciones y la duración total de las llamadas durante un día o un mes. Un subconjunto de estos registros también contenía uno o más números de identificación de sitios celulares, lo que potencialmente permitía a los actores de amenazas triangular la ubicación aproximada de un cliente cuando se realizó una llamada o se envió un mensaje de texto. AT&T dijo que alertará a los clientes actuales y anteriores si su información se vio involucrada. «Los actores de amenazas han utilizado datos de ataques anteriores para asignar números de teléfono a identidades», dijo Jake Williams, ex pirata informático de la NSA y profesor de IANS Research. «Lo que los actores de amenazas robaron aquí son efectivamente registros de datos de llamadas (CDR), que son una mina de oro en el análisis de inteligencia porque se pueden utilizar para entender quién está hablando con quién y cuándo». La lista de MVNO de AT&T incluye a Black Wireless, Boost Infinite, Consumer Cellular, Cricket Wireless, FreedomPop, FreeUp Mobile, Good2Go, H2O Wireless, PureTalk, Red Pocket, Straight Talk Wireless, TracFone Wireless, Unreal Mobile y Wing. AT&T no reveló el nombre del proveedor de nube externo, pero Snowflake ha confirmado desde entonces que la violación estaba relacionada con el ataque que afectó a otros clientes, como Ticketmaster, Santander, Neiman Marcus y LendingTree, según Bloomberg. La compañía dijo que se enteró del incidente el 19 de abril de 2024 y activó de inmediato sus esfuerzos de respuesta. Señaló además que está trabajando con las fuerzas del orden en sus esfuerzos por arrestar a los involucrados, y que «al menos una persona ha sido detenida». 404 Media informó que un ciudadano estadounidense de 24 años llamado John Binns, que fue arrestado previamente en Turquía en mayo de 2024, está relacionado con el evento de seguridad, citando tres fuentes anónimas. También fue acusado en los EE. UU. por infiltrarse en T-Mobile en 2021 y vender sus datos de clientes. Sin embargo, enfatizó que la información a la que se accedió no incluye el contenido de llamadas o mensajes de texto, información personal como números de Seguro Social, fechas de nacimiento u otra información de identificación personal. «Si bien los datos no incluyen los nombres de los clientes, a menudo hay formas, utilizando herramientas en línea disponibles públicamente, de encontrar el nombre asociado con un número de teléfono específico», dijo en una presentación del Formulario 8-K ante la Comisión de Bolsa y Valores de EE. UU. (SEC). También insta a los usuarios a estar atentos a la suplantación de identidad (phishing), el smishing y el fraude en línea abriendo únicamente los mensajes de texto de remitentes de confianza. Además de eso, los clientes pueden enviar una solicitud para obtener los números de teléfono de sus llamadas y mensajes de texto en los datos descargados ilegalmente. La campaña cibernética maliciosa dirigida a Snowflake ha puesto a 165 clientes en la mira, y Mandiant, propiedad de Google, atribuye la actividad a un actor de amenazas con motivaciones económicas denominado UNC5537 que abarca «miembros con sede en América del Norte y colabora con un miembro adicional en Turquía». Los delincuentes han exigido pagos de entre 300.000 y 5 millones de dólares a cambio de los datos robados. El último desarrollo muestra que las repercusiones de la ola de delitos cibernéticos están aumentando en alcance y han tenido un efecto en cascada. WIRED reveló el mes pasado cómo los piratas informáticos detrás de los robos de datos de Snowflake consiguieron credenciales robadas de Snowflake de servicios de la dark web que venden acceso a nombres de usuario, contraseñas y tokens de autenticación que son capturados por malware ladrón. Esto incluyó la obtención de acceso a través de un contratista externo llamado EPAM Systems. Por su parte, Snowflake anunció esta semana que los administradores ahora pueden aplicar la autenticación multifactor (MFA) obligatoria para todos los usuarios para mitigar el riesgo de apropiación de cuentas. También dijo que pronto requerirá MFA para todos los usuarios en cuentas Snowflake recién creadas. ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.