T-Mobile ha llegado a un acuerdo de 15,75 millones de dólares con la Comisión Federal de Comunicaciones (FCC) de EE. UU. por múltiples incidentes de ciberseguridad que provocaron la vulneración de los datos de millones de clientes. La sanción civil se relaciona con una serie de incidentes ocurridos en 2021, 2022 y 2023, todos los cuales han estado sujetos a investigaciones de la FCC. Cronología de las violaciones de datos de T-Mobile En agosto de 2021, T-Mobile reveló que un actor de amenazas obtuvo acceso a sus sistemas, lo que expuso los datos personales, incluidos los números de Seguro Social, de 7,8 millones de clientes actuales de T-Mobile y aproximadamente 40 millones de antiguos y clientes potenciales. En 2022, la empresa acordó pagar 350 millones de dólares para resolver una demanda colectiva relacionada con el incumplimiento. A finales de 2022, un atacante obtuvo acceso no autorizado a una plataforma de gestión que T-Mobile proporciona a su operador de red móvil virtual, que contenía datos de clientes. Una de las tácticas que los atacantes utilizaron en este caso fue un ataque de phishing a un empleado de T-Mobile. En mayo de 2023, T-Mobile reveló que un actor malicioso había accedido a cientos de cuentas de clientes entre finales de febrero y marzo de 2023. El ataque permitió a los atacantes ver ciertos datos de los clientes, incluida información de red patentada del cliente. El actor de amenazas obtuvo acceso robando las credenciales de la cuenta de varias docenas de empleados minoristas de T-Mobile. En enero de 2023, T-Mobile admitió que un actor malicioso accedió a la información personal y de la cuenta de decenas de millones de clientes a través de una API. Un error humano provocó una mala configuración en la configuración de permisos que permitió a un actor de amenazas enviar consultas y obtener datos de cuentas de clientes de T-Mobile. La presidenta de la FCC, Jessica Rosenworcel, comentó: “Las redes móviles actuales son los principales objetivos de los ciberdelincuentes. Los datos de los consumidores son demasiado importantes y demasiado sensibles para recibir algo que no sea la mejor protección de ciberseguridad. Continuaremos enviando un mensaje contundente a los proveedores a quienes se les confía esta delicada información de que necesitan reforzar sus sistemas o habrá consecuencias”. Lea ahora: AT&T acuerda un acuerdo de 13 millones de dólares con la FCC por violación de datos en la nube T-Mobile acuerda una importante inversión en ciberseguridad Además de la multa civil, que se pagará al Tesoro de EE. UU., la empresa de comunicaciones móviles acordó invertir por separado la misma cantidad. 15,75 millones de dólares para mejorar su postura en materia de ciberseguridad. Esta inversión abordará las vulnerabilidades de seguridad fundamentales, trabajará para mejorar la higiene cibernética y adoptará arquitecturas modernas y sólidas, como la confianza cero y la autenticación multifactor (MFA) resistente al phishing. Además, el CISO de T-Mobile brindará actualizaciones periódicas a la junta directiva sobre la postura de ciberseguridad de la empresa y los riesgos comerciales que plantea la ciberseguridad. La FCC dijo que estos compromisos son ejecutables. Haber de imagen: m_sovinskii/Shutterstock.com