El gigante de las telecomunicaciones AT&T ha revelado que los datos de sus clientes han sido descargados ilegalmente por actores de amenazas. Los piratas informáticos han descargado los datos del espacio de trabajo de AT&T en una plataforma en la nube de terceros, confirmó la compañía en un comunicado publicado el 12 de julio. Según una presentación ante la Comisión de Bolsa y Valores de Estados Unidos (SEC), la compañía se enteró por primera vez de que se había accedido a los registros de llamadas y se habían copiado ilegalmente el 19 de abril de 2024. AT&T confirmó que, según una investigación, los datos incluyen archivos que contienen registros de llamadas y mensajes de texto de AT&T de casi todos los clientes celulares de AT&T, clientes de operadores de redes virtuales móviles (MVNO) que utilizan la red inalámbrica de AT&T, así como clientes de teléfonos fijos de AT&T que interactuaron con esos números celulares entre el 1 de mayo de 2022 y el 31 de octubre de 2022. Los datos comprometidos también incluyen registros del 2 de enero de 2023, para un número muy pequeño de clientes. “La filtración de datos de AT&T es enorme y sin duda preocupará a cualquier cliente cuyos datos hayan sido filtrados. Los clientes deben extremar las precauciones y estar atentos a posibles ataques de phishing u otros tipos de fraude. Con el tipo de datos robados, el phishing por SMS podría ser particularmente frecuente”, dijo Christiaan Beek, director sénior de análisis de amenazas de Rapid7. Si bien los datos no contienen el contenido de llamadas o mensajes de texto, los registros identifican los números de teléfono con los que interactuó un número celular de AT&T o MVNO durante los períodos mencionados. La empresa tampoco cree que se haya visto afectada ninguna información de identificación personal, como números de seguridad social y fechas de nacimiento. En ese momento, la empresa emitió un comunicado en el que decía que no creía que los datos estuvieran disponibles públicamente. Las operaciones de AT&T no se han visto afectadas. En la presentación ante la SEC, AT&T dijo que ha tomado medidas de ciberseguridad adicionales en respuesta a este incidente, incluido el cierre del punto de acceso ilegal. AT&T notificará a los clientes actuales y anteriores afectados. Esta última filtración de datos de AT&T no está relacionada con un incidente anterior en el que se anunciaron 73 millones de registros de clientes y antiguos clientes en un mercado de la dark web en abril. Snowflake en el origen de la filtración de AT&T Los informes sugieren que el proveedor de nube de terceros afectado fue Snowflake. Elliott Wilkes, director de tecnología de Advanced Cyber ​​Defence Systems (ACDS), comentó: «Esta filtración parece ser el resultado de un atacante que exfiltró datos de AT&T almacenados en una cuenta de Snowflake, añadiendo más de 100 millones de clientes afectados a un volumen ya asombroso de datos filtrados de las cuentas de Snowflake. Es posible que el ataque de Snowflake acabe siendo una de las mayores filtraciones de datos hasta la fecha». La plataforma de almacenamiento de datos Snowflake ha estado en el centro de una serie de robos de datos que han afectado a sus usuarios. Esto incluye a Ticketmaster, que confirmó una actividad no autorizada dentro de un entorno de base de datos en la nube de terceros que contenía datos de la empresa a principios de junio de 2024. Hasta la fecha, más de 160 organizaciones que utilizan Snowflake han sido notificadas de que han sido potencialmente expuestas. En el análisis de Mandiant del incidente de Snowflake, se identificó a un actor de amenazas con motivaciones económicas, llamado UNC5537, que anunciaba la venta de datos robados de algunas víctimas en foros de delitos cibernéticos. Los investigadores de Mandiant dijeron que UNC5537 está comprometiendo «sistemáticamente» las instancias de clientes de Snowflake utilizando credenciales de clientes robadas. En junio, Jake Williams, ex pirata informático de la Agencia de Seguridad Nacional de EE. UU. (NSA) y miembro de la facultad de IANS Research, instó a las organizaciones a crear un inventario de todos los datos que tienen en Snowflake. También deberían rotar/invalidar agresivamente el material de autenticación, incluidas las claves API y los tokens de acceso, que puedan haber llegado a una instancia de Snowflake, especialmente las administradas por un tercero. Williams advirtió además que, independientemente de si su empresa es cliente de Snowflake o no, los equipos de gestión de proveedores deben comunicarse con los proveedores de servicios para asegurarse de que estén al tanto de este problema. «Pregunte si sus datos están en una de sus instancias de Snowflake. También pregunte si pueden afirmar afirmativamente que cualquiera de sus datos compartidos con otras partes no está en una instancia de Snowflake», dijo. MFA en el punto de mira La falta de autenticación multifactor (MFA) no estaba habilitada en muchos incidentes de Snowflake, lo que significa que la autenticación exitosa solo requería un nombre de usuario y contraseña válidos. «Los proveedores de software, proveedores de nube e infraestructura, empresas de tecnología y similares necesitan aplicar urgentemente la MFA de forma predeterminada», dijo Wikes. «Esta no debe ser una característica premium con un costo adicional, sino seguridad estándar, apuestas mínimas para poner sus productos en el mercado». En una actualización en junio, Brad Jones, CISO en Snowflake, dijo que la empresa está desarrollando un plan para exigir a sus clientes que implementen controles de seguridad avanzados, MFA o políticas de red.