Ayer, gigante móvil T-Mobile dijo que sufrió una violación de datos a partir del 26 de noviembre que afecta a 37 millones de clientes actuales tanto en cuentas de prepago como de pospago. La compañía dijo en una presentación de la Comisión de Bolsa y Valores de EE. UU. que un «mal actor» manipuló una de las interfaces de programación de aplicaciones (API) de la compañía para robar los nombres de los clientes, direcciones de correo electrónico, números de teléfono, direcciones de facturación, fechas de nacimiento, números de cuenta, y detalles del plan de servicio. La intrusión inicial ocurrió a fines de noviembre y T-Mobile descubrió la actividad el 5 de enero.
T-Mobile es uno de los operadores móviles más grandes de EE. UU. y se estima que tiene más de 100 millones de clientes. Pero en los últimos 10 años, la empresa se ha ganado la reputación de sufrir violaciones de datos repetidas junto con otros incidentes de seguridad. La compañía tuvo una mega brecha en 2021, dos brechas en 2020, una en 2019 y otra en 2018. La mayoría de las grandes empresas luchan con la seguridad digital y nadie es inmune a las filtraciones de datos, pero T-Mobile parece estar acercándose a empresas como Yahoo en el panteón de los compromisos repetidos.
«Ciertamente estoy decepcionado de escuchar que, después de tantas infracciones como han tenido, todavía no han podido apuntalar su barco con fugas», dice Chester Wisniewski, director técnico de campo de investigación aplicada en la empresa de seguridad. Sophos. “También es preocupante que los delincuentes estuvieron en el sistema de T-Mobile durante más de un mes antes de ser descubiertos. Esto sugiere que las defensas de T-Mobile no utilizan equipos modernos de monitoreo de seguridad y caza de amenazas, como se podría esperar encontrar en una gran empresa como un operador de red móvil”.
Debido a los límites de la API (una interfaz que facilita la comunicación entre dos programas de software), el atacante no obtuvo acceso a los números de seguridad social o identificación fiscal, datos de la licencia de conducir, contraseñas y PIN, o información financiera como datos de tarjetas de pago. Sin embargo, dichos datos se han visto comprometidos en otras violaciones recientes de T-Mobile, incluida una en agosto de 2021. En julio de 2022, T-Mobile acordó resolver una demanda colectiva sobre esa violación en un acuerdo que incluía $ 350 millones para los clientes. En ese momento, la compañía también se comprometió con una iniciativa de dos años y $150 millones para mejorar su seguridad digital y sus defensas de datos.
T-Mobile, que no respondió a las múltiples solicitudes de comentarios de WIRED, escribió en su divulgación ante la SEC que en 2021, “Comenzamos una inversión sustancial de varios años trabajando con expertos externos líderes en seguridad cibernética para mejorar nuestras capacidades de seguridad cibernética y transformar nuestro enfoque para la seguridad cibernética. Hemos hecho un progreso sustancial hasta la fecha, y la protección de los datos de nuestros clientes sigue siendo una prioridad principal”.
Claramente, no ha sido suficiente, dado el incidente reciente, que expuso datos de aproximadamente un tercio de los clientes de la empresa en los EE. UU.
«¿Cuántos de estos debe tener T-Mobile?» se preguntó Jake Williams, un respondedor de incidentes desde hace mucho tiempo y analista del Instituto de Seguridad de Redes Aplicadas. “La seguridad de las API recién comienza a ser algo en lo que la gente realmente se está enfocando, lo cual fue un error. Detectar el abuso de API no es fácil, especialmente si el actor de amenazas se está moviendo lento y bajo. Sospecho que hay una gran cantidad de estos en general que simplemente pasan desapercibidos. Pero la conclusión es que la seguridad de la API de T-Mobile claramente necesita trabajo. No debería tener un abuso masivo de API durante más de seis semanas”.