AT&T, uno de los operadores de redes móviles y de telecomunicaciones más grandes y antiguos de Estados Unidos, ha perdido el control de los registros telefónicos de prácticamente todos sus clientes durante un período de seis meses en 2022, en medio de una serie aún en expansión de infracciones que afectan clientes del especialista en datos en la nube Snowflake.
En una presentación ante la Comisión de Bolsa y Valores (SEC), la empresa dijo que se enteró del incidente por primera vez el 19 de abril de 2024, cuando un actor de amenazas afirmó haber accedido y copiado sus registros de llamadas. En respuesta, activó su proceso de respuesta a incidentes cibernéticos en ese momento.
En su declaración ante la SEC, AT&T dijo: “Según su investigación, AT&T cree que los actores de amenazas accedieron ilegalmente a un espacio de trabajo de AT&T en una plataforma en la nube de terceros y, entre el 14 y el 25 de abril de 2024, extrajeron archivos que contenían registros de AT&T de llamadas de clientes y interacciones de texto que ocurrieron aproximadamente entre el 1 de mayo y el 31 de octubre de 2022, así como el 2 de enero de 2023.
“Los datos no contienen el contenido de llamadas o mensajes de texto, información personal como números de seguridad social, fechas de nacimiento u otra información de identificación personal”, dijo la organización.
“El análisis actual indica que los datos incluyen, para estos períodos de tiempo, registros de llamadas y mensajes de texto de casi todos los clientes inalámbricos de AT&T y clientes de operadores de redes virtuales móviles (MVNO) que utilizan la red inalámbrica de AT&T. Estos registros identifican los números de teléfono con los que interactuó un número inalámbrico de AT&T o MVNO durante estos períodos, incluidos los números de teléfono de clientes de líneas fijas de AT&T y clientes de otros proveedores, recuentos de esas interacciones y duración total de las llamadas durante un día o mes.
“Para un subconjunto de registros, también se incluyen uno o más números de identificación del sitio celular. Si bien los datos no incluyen los nombres de los clientes, a menudo hay formas, utilizando herramientas en línea disponibles públicamente, de encontrar el nombre asociado con un número de teléfono específico”, dijo.
Los clientes de la empresa de telecomunicaciones pueden obtener más información sobre el incidente y los pasos que deben tomar ahora para protegerse de la posibilidad de ataques posteriores, navegando por su página de inicio de soporte. Los clientes afectados están en proceso de ser contactados.
“La violación contra AT&T es enorme y sin duda preocupará a cualquier cliente cuyos datos se hayan filtrado. Los clientes deben extremar las precauciones y estar atentos a posibles ataques de phishing u otros tipos de fraude. Con el tipo de datos robados, el phishing por SMS podría ser particularmente frecuente”, afirmó Christiaan Beek, director senior de análisis de amenazas de Rapid7.
La conexión del copo de nieve
En declaraciones a TechCrunch, la portavoz de AT&T, Angela Huguely, confirmó que el incidente surgió cuando los ciberdelincuentes accedieron al entorno Snowflake de la empresa de telecomunicaciones.
AT&T ahora se une a una lista cada vez mayor (que se cree que supera los 160) de clientes de Snowflake que han sido pirateados recientemente, probablemente por un grupo de ciberdelincuentes con motivación financiera rastreado por investigadores de Mandiant como UNC5537. En esta lista destacan empresas como Ticketmaster y Santander.
La investigación de Snowflake ha atribuido estas violaciones a una falta de higiene de seguridad de las víctimas: los analistas han encontrado evidencia de malware de robo de información secreto en sistemas de contratistas externos utilizados para acceder a los sistemas de TI de las empresas comprometidas. AT&T no ha abordado este punto ni ha proporcionado ninguna información sobre si este fue el caso en su incidente.
“Una organización es tan segura como su red de terceros más débil, y los protocolos de seguridad sólo son efectivos si todos sus proveedores externos son igualmente seguros”, dijo Beek de Rapid7.
“Los ciberdelincuentes son conscientes de esto e intentarán romper el eslabón más débil de la cadena para obtener acceso a los sistemas y robar datos altamente confidenciales. La gran cantidad de información personal almacenada significa que es aún más importante que las cadenas de suministro estén seguras”.
Beek añadió: “Para proteger las cadenas de suministro, las organizaciones deben mantener un buen estándar de higiene cibernética, incluida la aplicación de la autenticación multifactor (MFA). Además, los dispositivos del perímetro de la red son los objetivos principales de los atacantes; por lo tanto, las vulnerabilidades críticas en estas tecnologías deben corregirse de inmediato”.
Abunda la confusión
Sin embargo, ha habido confusión sobre la naturaleza precisa de las infracciones relacionadas con Snowflake gracias a un grupo llamado ShinyHunters, también operador del recientemente interrumpido “servicio” de fuga de datos BreachForums, que ha afirmado repetidamente que estaba detrás de los incidentes y que sí hackeó los sistemas de Snowflake.
A mediados de junio, un representante del colectivo ShinyHunters afirmó en una entrevista con Wired que accedió a los clientes de Snowflake a través de una infracción del contratista EPAM con sede en Bielorrusia. Como en todos los casos en los que los actores de amenazas hablan públicamente, estas afirmaciones deben tratarse con extremo escepticismo, y la propia EPAM ha refutado las afirmaciones de ShinyHunters, diciendo que había sido objeto de una campaña de desinformación.
La verdadera naturaleza de los incidentes en curso probablemente sólo quedará clara en el futuro después de múltiples investigaciones paralelas.
MFA por defecto
A principios de esta semana, Snowflake promulgó un importante cambio de política diseñado para ayudar a los clientes a mantener la seguridad de sus entornos cuando reforzó su oferta de MFA.
Las políticas mejoradas se basan en tres pilares: incitar a los usuarios a adoptar la AMF; aplicar, permitiendo a los administradores habilitar MFA de forma predeterminada; y monitorear, verificando qué usuarios no han configurado MFA.
En el futuro, a los usuarios individuales de Snowflake se les pedirá que habiliten MFA y se les guiará por el proceso. Si bien podrán descartar el mensaje, volverá a aparecer después de 72 horas si no se toma ninguna medida.
Mientras tanto, los administradores podrán aprovechar una nueva opción que requiere MFA para todos los usuarios de una cuenta, cuyo alcance se puede aplicar solo a usuarios locales o incluir también a usuarios de inicio de sesión único.
Finalmente, Snowflake ha puesto a disposición un paquete de escaneo para buscar el cumplimiento de la política de red y MFA de forma predeterminada y gratuita en todas las ediciones.
Javvad Malik, principal defensor de la concientización sobre la seguridad en KnowBe4, dijo: “Es bueno saber que Snowflake habilita MFA de forma predeterminada. Desde la perspectiva de la protección de la cuenta, MFA es probablemente uno de los controles más eficaces que existen. Dados todos los ataques contra cuentas, incluido el relleno de credenciales, más organizaciones deberían habilitar MFA de forma predeterminada”.