En los últimos cinco años, T-Mobile sufrió cerca de una decena de ataques a sus bases de datos, una vulnerabilidad que involucró la exposición de los datos de sus clientes y que, interpelado por la Comisión Federal de Comunicaciones de Estados Unidos (FCC, por sus siglas en inglés), ahora se traduce en la obligación de pagar una multa civil de 15,75 millones de dólares al Tesoro local. Pero además tendrá que invertir otros 15,75 millones de dólares en mecanismos que mejoren su estrategia de ciberseguridad. Para la FCC este acuerdo se erige como ejemplificador para los demás operadores de telecomunicaciones porque los obliga a mejorar la forma en que protegen los datos de sus clientes y su privacidad.
“El acuerdo de hoy resuelve múltiples investigaciones de violaciones de ciberseguridad. La Oficina había abierto casos sobre incidentes de ciberseguridad que involucraron a T-Mobile en 2021, 2022 y 2023. Estas investigaciones desarrollaron evidencia de que las violaciones que ocurrieron, que afectaron a millones de clientes de teléfonos celulares, fueron variadas en su naturaleza, explotaciones y métodos aparentes de ataque”, valoró el organismo.
Larga historia de vulnerabilidades
La preocupación de la FCC sobre la estrategia de la ciberseguridad que ostenta T-Mobile no es una novedad. Hace un año, se conocía la noticia sobre la filtración de información de unos 800 usuarios de T-Mobile y ese se constituía como el noveno ataque sufrido por el operador desde 2018.
Al respecto, el medio especializado TheVerge recuerda que hace pocas semanas, el operador debió pagar otros 60 millones de dólares en condición de multa por no haber informado incidentes de acceso no autorizado a datos confidenciales y, con ello, haber violado un acuerdo de seguridad nacional que firmó para adquirir Sprint en 2020. Pero no sólo eso. Según se citó allí, fue la multa más grande que alguna vez impusiera el Comité de Inversión Extranjera de Estados Unidos.
Imagen: GSMA
Esta sentencia de la FCC señala las vulnerabilidades ocurridas en 2021, 2022 y 2023. En el primer caso, por ejemplo, el Wall Street Journal había entrevistado a un joven hacker estadounidense de 21 años que había admitido el robo de 50 millones de datos de clientes mediante el uso de un enrutador del operador que no poseía protección, y que había valorado la estrategia de seguridad adoptada por el operador como “terrible”.
Sobre la multa y las obligaciones
T-Mobile deberá pagar una multa civil de 15,75 millones de dólares al Tesoro local e invertir una suma idéntica en la mejora de su estrategia de ciberseguridad en una apuesta diseñada por la FCC para que el operador aborde fallas de seguridad que identificó como “fundamentales”, que trabaje en la mejora de su “higiene cibernética” y adopte arquitecturas “modernas y sólidas, como la confianza cero y la autenticación multifactor resistente al phishing”.
A este acuerdo, la FCC lo valoró como “revolucionario en materia de protección de datos y ciberseguridad” y apostó a que “servirá como modelo para la industria de las telecomunicaciones móviles”.
“Las redes móviles actuales son los principales objetivos de los ciberdelincuentes”, dijo Jessica Rosenworcel, presidenta de la FCC en el anuncio del organismo, y agregó que “los datos de los consumidores son demasiado importantes y demasiado sensibles como para recibir algo que no sean las mejores protecciones de ciberseguridad. Seguiremos enviando un mensaje contundente a los proveedores a los que se les confía esta delicada información de que deben reforzar sus sistemas o habrá consecuencias”.
“Con empresas como T-Mobile y otros proveedores de servicios de telecomunicaciones que operan en un espacio donde se superponen los intereses de seguridad nacional y protección del consumidor, estamos enfocados en asegurar que se realicen cambios técnicos críticos en las redes de telecomunicaciones para mejorar nuestra postura nacional de ciberseguridad y ayudar a prevenir futuras vulneraciones de los datos confidenciales de los estadounidenses”, dijo Loyaan A. Egal, Jefe de la Oficina de Cumplimiento y Presidente del Grupo de Trabajo de Privacidad y Protección de Datos. El funcionario anticipó que “seguiremos responsabilizando a T-Mobile de la implementación de estos compromisos”.
Los detalles del acuerdo
Entre las acciones acordadas entre el organismo público y el operador, se establecen cuestiones vinculadas a la gobernanza y a la adopción de la estrategia conocida por el anglicismo zero trust (confianza cero).
Por ejemplo, el director de seguridad de la información de T-Mobile deberá rendir informes periódicos a la junta directiva sobre la postura de ciberseguridad de T-Mobile y los riesgos comerciales que plantea su ciberseguridad.
“Este es un requisito fundamental para todas las empresas bien gobernadas. Las juntas corporativas necesitan tanto visibilidad como experiencia en el dominio de la ciberseguridad para gobernar de manera efectiva. Este compromiso garantiza que la visibilidad de la junta en materia de ciberseguridad sea una prioridad clave en el futuro”, dijo la FCC al momento de presentar esta obligación, a modo de evangelización cultural.
También se incluyó la aceptación de T-Mobile de implementar una arquitectura moderna de confianza cero y segmentar sus redes; y allí también juzgó la FCC: “Este es uno de los cambios más importantes que las organizaciones pueden hacer para mejorar su postura de seguridad”, dijo.
Imagen creada con chatGPT
“T-Mobile se comprometió a adoptar ampliamente métodos de autenticación multifactor dentro de su red. Este es un paso fundamental para proteger la infraestructura crítica, como nuestras redes de telecomunicaciones. El abuso de los métodos de autenticación, por ejemplo, a través de la filtración, el robo o la venta deliberada de credenciales, es la principal forma en que comienzan las infracciones y los ataques de ransomware. La aplicación constante de los métodos de identidad y acceso recomendados hará más por mejorar una postura de ciberseguridad que casi cualquier otro cambio individual”, agregó la FCC.
Las seis acciones que detalla el decreto de consentimiento son:
- Gobierno Corporativo: designación de un Director de Seguridad de la Información que informará periódicamente al Consejo de Administración sobre cuestiones de ciberseguridad;
- Arquitectura moderna de confianza cero: avanzar hacia un marco de seguridad de “confianza cero” y segmentar su red para limitar el radio de explosión cuando se produce una violación;
- Gestión de identidades y accesos: implementación de autenticación multifactor (MFA) resistente al phishing para proteger sus redes y sistemas;
- Minimización y eliminación de datos: adopción de procesos de minimización de datos, inventario de datos y eliminación de datos diseñados para limitar la recopilación y retención de información del cliente;
- Inventario de activos críticos: identificar y rastrear rápidamente los activos críticos en su red para evitar el uso indebido o el compromiso.
- Evaluaciones independientes de terceros: realización de evaluaciones independientes de terceros sobre sus prácticas de seguridad de la información
El cuidado del dato, medular en la apuesta de la FCC
En 2023, la FCC creó un grupo de trabajo sobre privacidad y protección de datos, que es transversal al organigrama y que coordina las necesidades de elaboración de normas, aplicación y concienciación pública en los sectores de privacidad y protección de datos, incluidas las violaciones de datos (como las que involucran a los proveedores de telecomunicaciones) y las vulnerabilidades en las prácticas de privacidad y ciberseguridad de los proveedores de comunicaciones regulados.
Entre los logros que la cartera exhibe, se consiguió actualizar la normativa vinculada a la privacidad del consumidor, que implica también la protección de sus datos y la ciberseguridad. En ese sentido, se establece el acuerdo logrado ahora con T-Mobile y se inscribieron otros con AT&T y con Verizon en nombre de TracFone.
El acuerdo con AT&T data del 17 de septiembre de 2024 y le impone la obligación de invertir 13 millones de dólares para priorizar la protección de la información de clientes que es compartida con terceros, a partir de una investigación que involucra la violación de la nube de un proveedor.
A su vez, el acuerdo con Verizon, a través de TracFone, es del 22 de julio de 2024 y le impone pagar 16 millones de dólares para fortalecer la seguridad de las interfaces de programación de aplicaciones (APIs) de TracFone, por no haber protegido “razonablemente la información de sus clientes del acceso no autorizado en relación con tres violaciones de datos”, sucedidas entre enero de 2021 y enero de 2023.
Fueron tres eventos en los que las violaciones a la seguridad resultaron en el acceso no autorizado y la exposición de la información de propiedad de los clientes, incluida cierta información de red de propiedad del cliente e (CPNI) e información de identificación personal (PII), así como numerosas portabilidades no autorizadas.
“El acuerdo, formalmente llamado Decreto de Consentimiento, incluye términos destinados a fortalecer la seguridad de la API de TracFone. Esto es fundamental porque las API son omnipresentes y, por lo tanto, son un vector de ataque común para los actores de amenazas”, dijo la FCC en aquel momento.
Debe estar conectado para enviar un comentario.