En un preocupante giro de los acontecimientos, datos sensibles de clientes de AT&T han resurgido en la web oscura, producto de una violación de datos originalmente ocurrida en 2021. Esta vez, los archivos han sido reempaquetados para vincular directamente números de Seguro Social (SSN) y fechas de nacimiento (DOB) con usuarios individuales, incrementando los riesgos de fraude de identidad y ataques dirigidos.
¿Qué ocurrió con los datos de AT&T?
Un actor de amenazas ha vuelto a publicar información sustraída de AT&T, originalmente expuesta en una filtración de 2021 que afectó a más de 70 millones de personas. Lo alarmante de esta nueva publicación es que los archivos han sido organizados de forma más precisa, enlazando directamente los SSN y DOB en texto plano a registros de clientes específicos, lo que representa un aumento significativo en la severidad del incidente.
AT&T confirmó al medio especializado BleepingComputer que están investigando los datos filtrados, aunque también sugieren que se trata de información previamente comprometida. “No es raro que los ciberdelincuentes reempaqueten datos filtrados anteriormente con fines financieros. Acabamos de enterarnos de estas nuevas publicaciones y estamos realizando una investigación exhaustiva”, declaró un portavoz de la compañía.
Publicación en foros de la dark web
La alerta se encendió cuando el sitio HackRead reportó que los datos estaban siendo compartidos en un conocido foro de hacking de habla rusa. Un usuario afirmó que la información provenía de la reciente filtración relacionada con el proveedor de almacenamiento en la nube Snowflake, incidente en el que se expusieron los registros de llamadas de hasta 109 millones de usuarios.
El actor de amenazas señaló: “Originalmente, una de las bases de datos filtradas de Snowflake era una copia de seguridad que creé, con números falsos eliminados y SSN y DOB ya descifrados”.
No obstante, el análisis detallado realizado por BleepingComputer desmintió esta afirmación. Los datos no provienen de la filtración de Snowflake de 2024, sino de una brecha más antigua, ocurrida en 2021 y atribuida al grupo de cibercriminales ShinyHunters. En ese entonces, los datos fueron puestos a la venta por 200.000 dólares.
Evolución de la filtración desde 2021 hasta 2024
Tres años después del ataque original, en marzo de 2024, otro actor de amenazas liberó gratuitamente todos los datos de AT&T en un foro de ciberdelincuencia. Esta persona aseguró que la información provenía de la brecha de seguridad atribuida a ShinyHunters. Entre los datos filtrados se encontraban nombres completos, direcciones físicas, números de teléfonos móviles, fechas de nacimiento cifradas, SSN cifrados y otra información interna de la compañía.
En esta ocasión, los archivos estaban distribuidos por separado y contenían los SSN y DOB en forma cifrada, además de archivos individuales con las cadenas en texto sin formato. En un inicio, AT&T negó que la información proviniera de sus sistemas, pero luego reconoció que efectivamente se trataba de datos sustraídos, afectando a unos 73 millones de clientes.
¿Qué tiene de diferente esta nueva filtración?
El análisis técnico más reciente indica que los datos son los mismos expuestos en 2024, pero han sido modificados para eliminar cualquier referencia interna a sistemas de AT&T. Además, los atacantes han integrado directamente los SSN y DOB sin cifrado en cada registro de usuario, facilitando la correlación de los datos para fines maliciosos.
Esta nueva versión de la base de datos contiene un total de 88.320.017 líneas de datos, que, tras eliminar duplicados, se reducen a 86.017.088 registros únicos. Del conjunto, se han identificado 48.896.044 números de teléfono únicos, cada uno vinculado a información sensible del cliente. La diferencia de registros se debe a que varios usuarios cuentan con múltiples entradas asociadas a diferentes direcciones.
Publicación en el foro que filtra los datos de AT&T de 2021Fuente: BleepingComputer
¿Se trata de una nueva filtración?
Es importante destacar que no estamos ante una nueva violación de datos a los sistemas de AT&T ni tampoco ante datos obtenidos del ataque a Snowflake. Esta publicación es, en realidad, una versión reempaquetada y optimizada de la filtración de 2021. Sin embargo, el hecho de que los datos ahora incluyan información crítica como SSN y DOB en texto claro representa una amenaza mucho más grave para la privacidad de los usuarios afectados.
Implicaciones de seguridad y privacidad
La reaparición de estos datos en la dark web, en un formato más peligroso, resalta un problema persistente en el manejo de incidentes de ciberseguridad: los datos robados continúan circulando, evolucionando y siendo reutilizados durante años. Aunque AT&T asegura estar investigando, la exposición prolongada de la información personal de millones de usuarios aumenta los riesgos de robo de identidad, estafas dirigidas y otras actividades criminales.
Para los usuarios afectados, es fundamental activar alertas de fraude, considerar la congelación de sus informes de crédito y mantenerse atentos a cualquier actividad sospechosa en sus cuentas. Este caso subraya la necesidad urgente de que las empresas refuercen sus estrategias de protección de datos y que los usuarios tomen medidas proactivas para salvaguardar su identidad digital.
Fuente: Bleeping Computer
