El viernes, AT&T dijo que los ciberdelincuentes robaron los registros telefónicos de 'casi todos' sus clientes, una filtración de datos que obligará a la empresa a notificar a alrededor de 110 millones de personas.
AT&T dijo que los datos robados incluían registros como a qué números de teléfono llamaba y enviaba mensajes un cliente en particular, el total de llamadas y mensajes de texto, y la duración de las llamadas durante un período de seis meses entre el 1 de mayo de 2022 y el 31 de octubre de 2022. AT&T dijo que los datos robados no incluyen ningún contenido de llamadas o mensajes de texto, ni su fecha o hora.
Para algunos de los clientes afectados, los ciberdelincuentes también lograron robar números de identificación de sitios celulares vinculados a llamadas telefónicas y mensajes de texto, según AT&T. Esto significa que, potencialmente, alguien podría usar esta información para averiguar la ubicación aproximada de un cliente.
'Esto puede revelar dónde vive alguien, dónde trabaja, dónde pasa su tiempo libre, con quién se comunica en secreto, incluidos asuntos, cualquier comunicación basada en crímenes o conversaciones privadas/sensibles típicas que requieren secreto', dijo Rachel Tobac, una experta en ingeniería social y fundadora de la empresa de ciberseguridad SocialProof Security. 'Esto es importante para cualquier persona afectada'.
AT&T atribuyó el incidente a una reciente filtración en el proveedor de servicios en la nube Snowflake, que ha afectado a docenas de empresas, incluidas Ticketmaster, Santander Bank y la subsidiaria de LendingTree QuoteWizard. En este punto, no está claro quién estuvo detrás de la filtración de Snowflake. Mandiant, la empresa de ciberseguridad contratada por Snowflake para investigar, dijo que un grupo de ciberdelincuentes con motivaciones financieras que identifican como UNC5537 fue responsable.
El tipo de datos robados en la filtración de datos de AT&T se conoce comúnmente como metadatos porque no incluye el contenido de llamadas o mensajes de texto, sino solo información sobre esas llamadas y mensajes de texto. Sin embargo, eso no significa que no haya riesgos para las víctimas de esta filtración.
Tobac dijo que este tipo de datos hace que sea más fácil para los ciberdelincuentes hacerse pasar por personas en las que confías, lo que les facilita crear ataques de ingeniería social o phishing más creíbles contra los clientes de AT&T.
Contacto con nosotros
¿Tienes más información sobre este incidente de AT&T? ¿O sobre la filtración de Snowflake? Desde un dispositivo no laboral, puedes contactar a Lorenzo Franceschi-Bicchierai de manera segura en Signal al +1 917 257 1382, o a través de Telegram, Keybase y Wire @lorenzofb, o por correo electrónico. También puedes contactar a TechCrunch a través de SecureDrop.
'Los atacantes saben exactamente a quién es más probable que respondas a una llamada, a quién es más probable que le respondas a un mensaje de texto, cuánto tiempo te comunicas con esa persona e incluso potencialmente dónde estabas ubicado durante esa conversación debido a los metadatos que fueron robados', dijo Tobac.
Runa Sandvik, fundadora de Granitt, una empresa que ayuda a periodistas y activistas a ser más seguros, dijo que 'incluso si no haces nada 'importante' o 'sensible', con quién hablas; cuándo; y con qué frecuencia sigue siendo personal para ti y debería seguir siendo privado para ti también'.
'Creo que todos deberían estar muy enojados por esto y exigir un mejor comportamiento de las compañías telefónicas, no es suficiente decir 'ah, por cierto, se tomaron tus datos, lo sentimos y lo estamos tomando muy en serio'', dijo Sandvik a TechCrunch.
Sandvik dijo que es más preocupante para las personas de alto riesgo afectadas por la filtración. 'Algunos pueden considerar cambiar sus números y usar un proveedor diferente, pero realmente depende de las circunstancias'. Las personas de alto riesgo también pueden incluir a aquellos que tienen motivos para ocultar su identidad, como sobrevivientes de abuso doméstico.
Sandvik también dijo que el uso de aplicaciones de chat cifradas, como Signal, que no retiene el tipo de metadatos que AT&T acaba de perder; y WhatsApp, podría ser mejor para la seguridad porque estas empresas tienen un mejor historial de protección de datos de los usuarios.
Jake Williams, un experto en ciberseguridad y ex hacker de la NSA, dijo a TechCrunch que el riesgo es mayor para empresas y objetivos de inteligencia después de la filtración de AT&T.
'Los actores de amenazas pueden usar estos datos para crear patrones de vida', dijo Williams. 'Los registros de llamadas proporcionan una riqueza de valor para los analistas de inteligencia'.
Williams también dijo que es posible que los piratas informáticos combinen estos datos con los de filtraciones de datos, porque 'incidentes anteriores de AT&T mapearon los números de teléfono de los clientes con otra información identificativa, simplificando la utilización de los datos recién comprometidos'.
Tradicionalmente, los metadatos de llamadas y mensajes de texto son información que puede ser valiosa para las agencias de inteligencia. Algunos de los documentos filtrados por el ex contratista de la NSA Edward Snowden hace más de una década revelaron que la Agencia de Seguridad Nacional de EE. UU. estaba obteniendo metadatos de clientes de Verizon a granel de manera 'constante y diaria'.
El gobierno de EE. UU. ha defendido esta práctica durante mucho tiempo como una herramienta esencial para combatir el terrorismo, y durante la última década las administraciones sucesivas han sido reacias a renunciar a esta capacidad. Un ex oficial de inteligencia, que pidió permanecer en el anonimato porque no estaba autorizado para hablar con la prensa, dijo a TechCrunch que hay 'una razón por la que los servicios extranjeros suelen dirigirse con tanta frecuencia a las empresas telefónicas', citando esfuerzos para identificar posibles fuentes eactivos de inteligencia.
'En resumen, estos datos son una mina de oro para comprender con quién habla quién, lo que por ejemplo, puede usarse para desarrollar fuentes humanas', dijo Williams.
AT&T dice que los criminales robaron los registros telefónicos de 'casi todos' los clientes en una nueva filtración de datos