AT&T Corp. reveló hoy que una nueva filtración de datos expuso los registros de llamadas telefónicas y mensajes de texto de aproximadamente 110 millones de personas, casi todos sus clientes. AT&T dijo que retrasó la divulgación del incidente en respuesta a “preocupaciones de seguridad nacional y pública”, y señaló que algunos de los registros incluían datos que podrían usarse para determinar dónde se realizó una llamada o se envió un mensaje de texto. AT&T también reconoció que los registros de los clientes quedaron expuestos en una base de datos en la nube que estaba protegida solo por un nombre de usuario y una contraseña (no se necesitaba autenticación multifactor). En una presentación regulatoria ante la Comisión de Bolsa y Valores de Estados Unidos hoy, AT&T dijo que intrusos cibernéticos accedieron a un espacio de trabajo de AT&T en una plataforma en la nube de terceros en abril, descargando archivos que contenían interacciones de llamadas y mensajes de texto de clientes entre el 1 de mayo y el 31 de octubre de 2022, así como el 2 de enero de 2023. La compañía dijo que los datos robados incluyen registros de llamadas y mensajes de texto para proveedores móviles que revenden el servicio de AT&T, pero que no incluyen el contenido de llamadas o mensajes de texto, números de Seguro Social, fechas de nacimiento o cualquier otra información de identificación personal. Sin embargo, la compañía dijo que un subconjunto de los registros robados incluía información sobre la ubicación de las torres de comunicaciones celulares más cercanas al suscriptor, datos que podrían usarse para determinar la ubicación aproximada del dispositivo del cliente que inicia o recibe esos mensajes de texto o llamadas telefónicas. «Si bien los datos no incluyen los nombres de los clientes, a menudo hay formas, utilizando herramientas en línea disponibles públicamente, de encontrar el nombre asociado con un número de teléfono específico», admitió AT&T. AT&T dijo que se enteró de la violación el 19 de abril, pero retrasó su divulgación a pedido de los investigadores federales. La divulgación de la SEC de la compañía dice que las autoridades han detenido al menos a una persona en relación con la violación. En una declaración escrita compartida con KrebsOnSecurity, el FBI confirmó que le pidió a AT&T que retrasara la notificación a los clientes afectados. “Poco después de identificar una posible violación de los datos de los clientes y antes de tomar su decisión de materialidad, AT&T se comunicó con el FBI para informar el incidente”, se lee en la declaración del FBI. “Al evaluar la naturaleza de la violación, todas las partes discutieron un posible retraso en la presentación de informes públicos según el Artículo 1.05 (c) de la Norma de la SEC, debido a los posibles riesgos para la seguridad nacional y/o la seguridad pública. AT&T, el FBI y el Departamento de Justicia trabajaron en colaboración a través del primer y segundo proceso de demora, todo mientras compartían información clave sobre amenazas para reforzar las acciones de investigación del FBI y ayudar al trabajo de respuesta a incidentes de AT&T”. Techcrunch citó a un portavoz de AT&T diciendo que los datos de los clientes fueron robados como resultado de una violación de datos aún en desarrollo que afectó a más de 160 clientes del proveedor de datos en la nube Snowflake. A principios de este año, piratas informáticos maliciosos descubrieron que muchas empresas importantes habían subido cantidades masivas de datos valiosos y confidenciales de clientes a los servidores de Snowflake, al mismo tiempo que protegían esas cuentas de Snowflake con poco más que un nombre de usuario y una contraseña. Wired informó el mes pasado cómo los piratas informáticos detrás de los robos de datos de Snowflake compraron credenciales robadas de Snowflake de servicios de la web oscura que venden acceso a nombres de usuario, contraseñas y tokens de autenticación que son extraídos por malware que roba información. Por su parte, Snowflake dice que ahora requiere que todos los nuevos clientes utilicen la autenticación multifactor. Otras empresas con millones de registros de clientes robados de los servidores de Snowflake incluyen Advance Auto Parts, Allstate, Anheuser-Busch, Los Angeles Unified, Mitsubishi, Neiman Marcus, Progressive, Pure Storage, Santander Bank, State Farm y Ticketmaster. A principios de este año, AT&T restableció las contraseñas de millones de clientes después de que la compañía finalmente reconociera una filtración de datos de 2018 que afectó a aproximadamente 7,6 millones de titulares de cuentas actuales de AT&T y aproximadamente 65,4 millones de antiguos titulares de cuentas. Mark Burnett es arquitecto de seguridad de aplicaciones, consultor y autor. Burnett dijo que el único uso real de los datos robados en la filtración más reciente de AT&T es saber quién se comunica con quién y cuántas veces. «Lo que más me preocupa de esta filtración de AT&T de TODOS los registros de llamadas y mensajes de texto de los clientes es que esta no es una de sus bases de datos principales; son metadatos sobre quién se comunica con quién», escribió Burnett en Mastodon. «Lo que me hace preguntarme para qué se habrían utilizado los registros de llamadas sin marcas de tiempo ni nombres». Sigue sin estar claro por qué tantas grandes corporaciones persisten en la creencia de que de alguna manera es aceptable almacenar tantos datos confidenciales de los clientes con tan pocas protecciones de seguridad. Por ejemplo, Advance Auto Parts dijo que los datos expuestos incluían nombres completos, números de la Seguridad Social, licencias de conducir y números de identificación emitidos por el gobierno de 2,3 millones de personas que eran ex empleados o solicitantes de empleo. Esto puede deberse a que, aparte de las demandas colectivas que invariablemente surgen después de estas infracciones, hay poca responsabilidad de las empresas por prácticas de seguridad descuidadas. AT&T le dijo a la SEC que no cree que este incidente tenga un impacto material en la situación financiera de AT&T o en los resultados de sus operaciones. AT&T informó ingresos de más de 30 mil millones de dólares en su trimestre más reciente.