- Casi 50 millones de usuarios de T-Mobile fueron afectados por un robo de datos.
- Apenas se dieron a conocer más detalles del robo de información, que afectó a exclientes.
- La mayoría de los perjudicados ya no eran clientes de la operadora pero esta seguía almacenando sus datos.
T-Mobile, firma estadounidense de telecomunicaciones, reconoció esta semana que sufrió un robo de información. Este afectó a 100 millones de usuarios, según los propios ciberdelincuentes que protagonizaron el asalto. Ahora, la empresa compartió más detalles sobre el incidente en un correo electrónico.
Aunque no es una de las mayores filtraciones de la historia, el impacto que generó en una de las principales empresas de telecomunicaciones estadounidenses es mayúsculo.
En su mensaje, la compañía destacó que no se afectó la información de esos 100 millones de clientes que en principio se dijo. Los datos que se vulneraron afectaron en realidad a 48 millones de ciudadanos.
Además, de esos 48 millones, solo 850,000 personas con contratos de prepago sufrieron una vulneración de sus datos más grave. Esta incluye sus nombres, números de teléfono e incluso códigos PIN de los móviles afectados.
Del resto se filtraron datos como el nombre, fecha de nacimiento, número de la seguridad social o la licencia para conducir.
Pero lo más sorprendente de todo es que un elevado porcentaje de los datos comprometidos corresponden a personas que ni siquiera son usuarios de T-Mobile; aunque sí lo fueron en el pasado.
El ciberataque a T-Mobile revela que la empresa acumuló información de sus exclientes
La operadora almacenaba la información de muchos ciudadanos que ya no tenían ninguna vinculación con la compañía. Esto revela lo lejos que están países como Estados Unidos de estándares en protección de datos; mientras que en Europa se rigen por el Reglamento General de Protección de Datos de la Unión Europea.
«De forma general, Estados Unidos sigue siendo el Lejano Oeste cuando se trata de la información que las empresas todavía almacenan sobre nosotros», reconoce —en declaraciones a Wired— Amy Keller. Ella es socia de un bufete conocido protagonizar la demanda contra Equifax; que mantiene un fichero de morosos que sufrió una brecha de seguridad en 2017.
«Me sorprende y no me sorprende. Podríamos decir que me hastía», continúa. Por eso, varias fuentes consultadas por Wired reivindican la necesidad de que las compañías estadounidenses promuevan el concepto de minimización de datos. Por consiguiente, también disminuyen los riesgos. Keller destaca que hay legislación en Estados Unidos que no promueve esa idea; más allá de recomendarla como buena práctica.
El hecho de que los datos de 850,000 usuarios de prepago de T-Mobile se filtró —incluso la clave PIN de sus tarjetas telefónicas— es preocupante. Los expertos advierten de la posibilidad de que los autores del ataque pueden compartir esa información con otros actores maliciosos.
Con tiempo y pericia, esos actores podrán acabar ejecutando ataques de suplantación de SIM (SIM swapping). Con ello, los ciberdelincuentes son capaces de acceder incluso a la cuenta bancaria de su víctima; ya que al suplantar la tarjeta telefónica pueden recibir ellos el SMS del banco con la clave para recuperar la cuenta y acceder a ella por internet.
David Opderbeck —codirector del Instituto de Derecho, Ciencia y Tecnología de la Universidad Seton Hall— dijo a Wired que esta es la última filtración de varias que ha sufrido T-Mobile en los últimos años: más de 30.
De hecho, esta es la sexta en cuatro años, concretamente. Por eso, el propio Opderbeck espera que, en caso de que T-Mobile no asuma las consecuencias, se tomen medidas como una nueva demanda en su contra.
Aunque las empresas no puedan prevenir con eficacia de 100% este tipo de ataques y filtraciones, sí pueden minimizar los datos que almacenan de sus clientes y exclientes. Después de todo, se estaban almacenando los datos de más de 40 millones de personas; y la mayoría ya no tenían nada que ver con la operadora.
TAMBIÉN LEE: El director ejecutivo de una empresa de ciberseguridad revela cómo responder a un ataque de ransomware
