¿Cómo T-Mobile sufrió el robo de 37 millones de cuentas?

El caso del robo que sufrió T-Mobile a finales de 2022 nos ha dejado una serie de enseñanzas y recomendaciones sobre cómo una empresa debe gestionar la seguridad de datos de los clientes para evitar que los ciberdelincuentes realicen ataques de ransomware y extraigan más información sensible si cabe.

El 25 de noviembre de 2022, T-Mobile y sus millones de clientes sufrieron un ataque por parte de un grupo de piratas informáticos que sabían cómo explotar una interfaz de programación de aplicaciones que utilizaba la compañía para perpetrar una violación de datos.

El ataque a T-Mobile

El pasado 19 de enero del presente año, T-Mobile reveló las consecuencias de esta brecha de seguridad ante la Comisión de Bolsa y Valores de Estados Unidos. Aunque no identificó qué API fue la afectada ni explicó cómo pudieron perpetrar el ataque, durante la presentación, la compañía aseguró que los atacantes aprovecharon las vulnerabilidades que presentaba una API para obtener datos personales como nombres de clientes, direcciones de correos electrónicos, números de teléfono, fechas de nacimiento y números de cuenta de 37 millones de clientes actuales del plan de pospago y prepago de T-Mobile.

Dentro de lo malo de está brecha, T-Mobile ha explicado que, afortunadamente, la API no filtró datos personales relacionados con tarjetas de crédito, números de Seguridad Social, licencias de conducir, contraseñas o pin de acceso.

La API mal configurada

Por todos es sabido que una empresa que sufra en repetidas ocasiones filtraciones de datos tiene un impacto que repercute negativamente en la reputación de la organización. En este sentido, Erich Kron, defensor de la conciencia de seguridad en KnowBe4, ha querido explicar que “una API mal configurada fue la culpable; sin embargo, esto es indicativo de procesos y procedimientos potencialmente deficientes con respecto a las herramientas seguras que tienen acceso a una cantidad tan significativa de datos. Mobile también tiene la responsabilidad de garantizar que sea segura, una responsabilidad en la que han fallado varias veces”.

Una API actúa como una interfaz entre diferentes sistemas y aplicaciones para permitirles comunicarse entre sí. Precisamente por encontrarse entre dos sistemas se convierte en un objetivo muy tentador para los ciberdelincuentes. Al realizar ataques de extracción de datos en la API, los atacantes pueden obtener acceso directo a los datos y activos críticos de una organización.

Por su parte, Dirk Schrader, vicepresidente de investigación de seguridad de Netwrix, ha explicado que “Las API son como autopistas a los datos de una empresa: altamente automatizadas y que permiten el acceso a grandes cantidades de información. Cuando no existen controles que monitoreen la cantidad de datos que deja el dominio a través de la API, no hay control sobre los datos del cliente”.

Una mina de oro

La información robada supone un filón, una mina de oro para los ciberdelincuentes. Gracias a todos los datos extraídos, como los número de teléfono, las cuentas o los correos electrónicos, los ciberdelincuentes pueden diseñar ataques de phishing, vishing y smishing para sustraer información que, a priori, solo T-Mobile conoce. Las consecuencias hubieran sido pero si los ciberatacantes llegan también a extraer datos bancarios se podrían haber producido robos financieros a gran escala.

Filtraciones T-Mobile

Las filtraciones de datos no son ajenas a ninguna empresa, y mucho menos para T-Mobile. Durante los últimos años la empresa ha sufrido varios incidentes de seguridad, como la sufrida en 2021, que expuso datos personales de cerca de 50 millones de personas, y otra en marzo de 2022 perpetrada por Lapsus$.

De hecho, en 2021, T-Mobile inició una inversión importante repartida en varios años para trabajar con proveedores de seguridad externos con el objetivo de subsanar sus vulnerabilidades y mejorar sus capacidades en ciberseguridad.

Recomendaciones para clientes y empresas

Ante un ataque de estas características, los clientes de T-Mobile deberán cambiar sus contraseñas y tener cuidado con los correos electrónicos entrantes que lleven por remitente cuentas de la compañía.

Por esta razón, examinar los correos electrónicos inesperados o no solicitados en busca de errores tipográficos, enlaces incorrectos y otros detalles engañosos suele ser una de las recomendaciones que indican todas las empresas de ciberseguridad.

En cambio, para que las empresas eviten este tipo de ataques las organizaciones que trabajan con API deben implementar controles estrictos sobre quién, qué, cuándo y con que frecuencia se puede usar las API.

En este sentido, Schrader, recomienda que “un enfoque de confianza cero es la mejor manera de reducir la superficie de ataque, ya que limita el acceso a los recursos desde dentro y fuera de la red hasta que se pueda verificar la solicitud”.

DeMers ha querido añadir que “En la práctica, de lo que estamos hablando es de un cambio fundamental donde los CTO, CIO, CDO, arquitectos de datos y desarrolladores de aplicaciones comienzan a desacoplar los datos de las aplicaciones y otros silos para establecer ecosistemas de datos de “copia cero”.