Marque B para una infracción: cómo los atacantes se robaron los registros telefónicos de 110 millones de clientes de AT&T

Por Danny Bradbury • 27 de septiembre de 2024

¿Recuerdas a principios de los años ochenta cuando el lema de AT&T era "Extiende la mano y toca a alguien"? Aparentemente, los ciberdelincuentes tomaron esto literalmente en abril de este año cuando tocaron los datos del registro de llamadas de más de un millón de clientes de AT&T.

El 19 de abril, AT&T se enteró de que unos intrusos afirmaban tener acceso a sus datos. Luego, los intrusos robaron datos de registro de AT&T relacionados con llamadas y mensajes de texto inalámbricos entre el 1 de mayo y el 31 de octubre de 2022. La información del registro eran metadatos que contenían números de teléfono a los que llamaron los usuarios de servicios inalámbricos, cuántas llamadas hicieron y cuánto duraron las llamadas en total. También incluía números de identificación del sitio celular para algunas de esas llamadas.

Los datos robados no incluían PII, como contenido de llamadas o mensajes de texto, números de Seguro Social o fechas de nacimiento. Sin embargo, como señala AT&T en su Presentación en la SEC Para el incidente, "Si bien los datos no incluyen los nombres de los clientes, a menudo hay formas, utilizando herramientas en línea disponibles públicamente, de encontrar el nombre asociado con un número de teléfono específico". La inclusión de ID de sitios celulares también hace posible que las personas utilicen este conjunto de datos para analizar la ubicación de algunas de estas llamadas y, por lo tanto, los propietarios de los números.

Seis meses de registros de llamadas contienen una gran cantidad de datos. AT&T ha declarado que informará a 110 millones de clientes cuyos datos de llamadas estuvieron implicados en la violación de datos. En su presentación, dijo que no creía que los datos se hubieran hecho públicos.

AT&T presentó la presentación ante la SEC por la infracción el 12 de julio, muy lejos del plazo de cuatro días. Retrasó la presentación de acuerdo con la solicitud del Departamento de Justicia, ya que el Departamento de Justicia decidió que presentar el informe dentro del período normal de cuatro días solicitado por la SEC sería potencialmente peligroso. Eso tiene sentido, dado que la violación aparentemente continuó después de que la empresa de telecomunicaciones se enteró por primera vez de la intrusión de los actores de la amenaza. Los datos del registro de llamadas fueron robados días después de que AT&T dijera que se enteró de la intrusión.

La violación no ocurrió en absoluto en los sistemas de AT&T. En cambio, ocurrió a través de un proveedor de nube externo que la compañía identificó en la prensa como la empresa de almacenamiento de datos basada en la nube Snowflake. Este no fue el único robo de datos de este tipo en Snowflake; Según Mandiant, a 165 clientes les robaron los datos de los sistemas de almacenamiento de la empresa. Sin embargo, esto no parecía ser una vulnerabilidad de codificación en el software de Snowflake. Los clientes víctimas de estos robos, entre los que se encontraban marcas como Ticketmaster, tenían una cosa en común: las credenciales de sus cuentas habían sido robadas mediante malware y no utilizaban autenticación multifactor.

¿Qué podemos aprender de la infracción de AT&T/Snowflake?

Todos podemos aprender de los errores de los clientes afectados por la infracción de Snowball, dicen los expertos. "Las organizaciones deben tener una comprensión clara del modelo de responsabilidad de seguridad compartida que viene con las relaciones con los proveedores e implementar controles sólidos de gestión de identidad y acceso en plataformas en la nube", dice Milda Petraityte, investigadora de la consultora de ciberseguridad S-RM.

Snowflake tomó algunas medidas propias, introduciendo una nueva capacidad para que los administradores de los clientes hacer cumplir la MFA obligatoria el 9 de julio, casi tres meses después de que comenzara la gran cantidad de inicios de sesión no autorizados en sus sistemas. Eso es un comienzo, pero uno se pregunta por qué esta característica no estaba ya implementada, o por qué, en el espíritu de la verdadera ciberseguridad, habría otro modelo operativo además del MFA obligatorio.

Las empresas todavía están muy rezagadas en el uso de la AMF. De acuerdo a El estado de la ciberseguridad de CompTIA en 2024 Según el informe, solo el 41% de las empresas incluyen el uso de MFA en sus estrategias de ciberseguridad. Sólo el 38 % utiliza alguna forma de gobernanza de cargas de trabajo en la nube.

El otro problema que metió en problemas a las empresas fue no detectar y mitigar el robo de credenciales. "Varias empresas no sabían que habían sido comprometidas con ladrones de información, por lo que sus credenciales estaban disponibles en la web oscura", señala Stephanie Schneider, analista de inteligencia de amenazas cibernéticas en la empresa de gestión de contraseñas LastPass. La detección es un paso crítico en cualquier plan de respuesta a incidentes. Debido a que las empresas no lograron detectar la infección de malware que provocó el robo de credenciales y luego no implementaron protección de acceso adicional, quedaron vulnerables.

Las empresas pueden aprender sobre prácticas seguras como estas en estándares comunes de ciberseguridad. Por ejemplo, ISO 270001 menciona explícitamente métodos de autenticación seguros, como la autenticación de dispositivos externos, en su Anexo A 8.5 documentación. También menciona medidas como verificar y prevenir el uso de software no autorizado, protecciones de defensa en profundidad contra malware en múltiples puntos de infraestructura y capacitar a los empleados para que sean conscientes de la ingeniería social y la instalación de software malicioso en Control 8.7—Protección contra malware.

La implementación efectiva de tales medidas podría haber ayudado a prevenir el desastre de Snowflake de AT&T, junto con las infracciones de muchas otras empresas a través del servicio basado en la nube. Sin embargo, la empresa de telecomunicaciones ha tenido que lidiar con otros incidentes de ciberseguridad.

En marzo de este año, AT&T declaró que la PII de 73 millones de clientes flotaba en la web oscura y no sabía de dónde procedía la información. Esos datos, surgidos de un compromiso en 2021, fueron suficientes para provocar una pleito de acción de clase de clientes frustrados.

En enero de 2023, la empresa de telecomunicaciones informó que la información personal de nueve millones de cuentas de clientes se había visto comprometida a través de uno de sus socios de marketing externos. Esto resalta la necesidad de evaluaciones sólidas de los proveedores y auditorías de seguridad continuas de terceros para ayudar a proteger no solo la propia red de la empresa sino todo su ecosistema de datos.

Gestionar ese tipo de ecosistema es un desafío para una empresa tan extensa como AT&T, especialmente porque también vendió datos de geolocalización de clientes a terceros sin su consentimiento. Esto también es una señal de que necesitamos más medidas regulatorias para obligar a estas empresas a implementar controles sólidos de seguridad y privacidad.

danny bradbury

Danny Bradbury ha sido periodista impreso especializado en tecnología desde 1989 y escritor independiente desde 1994. Ha escrito para publicaciones nacionales en ambos lados del Atlántico y ha ganado premios por su trabajo de periodismo de investigación en ciberseguridad.

Lea más de Danny Bradbury

La seguridad cibernética 15 de enero de 2026

De la seguridad perimetral a la identidad como bandera de seguridad

De la seguridad perimetral a la identidad como seguridad

Hoy en día, es imposible ver un evento de seguridad sin ver la frase "confianza cero". Es una palabra de moda, sí, pero...

danny bradbury

La seguridad cibernética 18 December 2025

Cómo navegar por el laberinto de cumplimiento de IA en EE. UU.

Cómo navegar por el laberinto del cumplimiento normativo de la IA en EE. UU.

En materia de regulación, el término «Estados Unidos» es un oxímoron. Las leyes estatales están lejos de estar unificadas, y cada jurisdicción tradicionalmente...

danny bradbury

La seguridad cibernética 20 November 2025

Lo que las brechas de seguridad de Salesforce nos enseñan sobre la responsabilidad compartida

2025 no ha sido un buen año para los clientes de Salesforce. Un grupo criminal sin escrúpulos lanzó una serie de ataques contra sus clientes, afectando finalmente a...

danny bradbury

Marque B para una infracción: cómo los atacantes se robaron los registros telefónicos de 110 millones de clientes de AT&T

¿Qué podemos aprender de la infracción de AT&T/Snowflake?

danny bradbury

Artículos relacionados

De la seguridad perimetral a la identidad como seguridad

La vida después de la fecha límite: Convertir el cumplimiento de DORA en estabilidad operativa

La era del cumplimiento normativo: cómo la regulación, la tecnología y el riesgo están reescribiendo las normas empresariales

Lea más de Danny Bradbury

De la seguridad perimetral a la identidad como seguridad

Cómo navegar por el laberinto del cumplimiento normativo de la IA en EE. UU.

Lo que las brechas de seguridad de Salesforce nos enseñan sobre la responsabilidad compartida