El robo de datos a T-Mobile en EEUU revela que la operadora almacenaba datos de personas que habían dejado de ser sus clientes

No se trata de una de las mayores filtraciones de la historia pero el impacto que ha generado en una de las principales telecos estadounidenses es mayúsculo.

T-Mobile, la firma que reconoció esta misma semana haber sufrido un robo de información que habría afectado a 100 millones de usuarios, según reivindicaron inicialmente los propios ciberdelincuentes que protagonizaron el asalto, ha compartido más detalles sobre el incidente. Lo ha hecho en un correo electrónico enviado esta misma semana.

En él, la operadora destaca que no se ha afectado a la información de esos 100 millones de clientes que en principio se había cifrado. Los datos que se habrían vulnerado afectarían en realidad a 48 millones de ciudadanos. 

T-Mobile está investigando una supuesta filtración con datos de hasta 100 millones de sus clientes: los ciberdelincuentes los venden a cambio de bitcoin

Además, de esos 48 millones, solo 850.000 personas con contratos de prepago habrían sufrido una vulneración de sus datos más grave (con sus nombres, números de teléfono e incluso códigos PIN del móvil afectados).

Del resto se habrían filtrado datos como el nombre, la fecha de nacimiento, el número de la seguridad social o la licencia para conducir.

Pero lo más sorprendente de todo es que un elevado porcentaje de los datos comprometidos corresponden a personas que ni siquiera son usuarios de T-Mobile, aunque sí lo fueron en el pasado. 

La operadora almacenaba la información de muchos ciudadanos que ya no tenían ninguna vinculación con la compañía, lo que desvela, además, lo lejos que están países como EEUU de estándares en protección de datos como el Reglamento General de Protección de Datos de la Unión Europea.

De gamberradas adolescentes a complejas organizaciones criminales: así han evolucionado los ciberataques en 11 grandes golpes de la historia

"Hablando de forma general, EEUU sigue siendo el Lejano Oeste cuando se trata de la información que las empresas todavía almacenan sobre nosotros", reconoce, en declaraciones a Wired, Amy Keller, socia de un bufete conocido por haber protagonizado la demanda contra Equifax, que mantiene un fichero de morosos que sufrió una brecha de seguridad en 2017. 

"Me sorprende y no me sorprende. Podríamos decir que me hastía", continúa.

Por eso, varias fuentes consultadas por el citado medio reivindican la necesidad de que las compañías estadounidenses promuevan el concepto de minimización de datos y, por consiguiente, de riesgos. Keller destaca que hay legislación en EEUU que no promueve esa idea, más allá de recomendarla como buena práctica.

El hecho de que de 850.000 usuarios de prepago de T-Mobile se haya filtrado incluso la clave PIN de sus tarjetas telefónicas es preocupante. Los expertos ya advierten de la posibilidad de que los ciberdelincuentes que se han hecho con el botín de esta información lo podrán compartir con otros actores maliciosos.

Se filtra en la red una lista con datos de casi 2 millones de personas sospechosas por terrorismo: muchas podrían ser inocentes y estar en peligro

Con tiempo y pericia, esos actores podrán acabar ejecutando ataques de suplantación de SIM (SIM swapping) con el que los ciberdelincuentes son capaces de acceder incluso a la cuenta bancaria de su víctima, ya que al suplantar la tarjeta telefónica pueden recibir ellos el SMS del banco con la clave para recuperar la cuenta y acceder a la misma por internet.

David Opderbeck es el codirector del Instituto de Derecho, Ciencia y Tecnología de la Universidad Seton Hall, y en declaraciones también a Wired destaca que esta es la última filtración de varias que ha sufrido T-Mobile en los últimos años: más de 30. 

Esta es la sexta en cuatro años, concretamente. Por eso, el propio Opderbeck espera que, en caso de que T-Mobile no asuma las consecuencias de estas brechas, se tomen medidas como una nueva demanda contra la teleco.

Aunque no es realista esperar que las empresas puedan prevenir con una eficacia del 100% este tipo de  ataques y exfiltraciones, sí lo es que las compañías minimicen los datos que almacenan de sus clientes y exclientes. Después de todo, se estaban almacenando los datos de más de 40 millones de personas, y la mayoría ya no tenían nada que ver con la operadora.