Estados Unidos

Hay cientos de miles de víctimas de hackeo pero no han sido notificadas por las compañías

La campaña de piratería accedió a los metadatos de más de un millón de personas, dijo una fuente de la industria informada sobre el asunto.

El hackeo habría afectado a 1 millón de usuarios.
GETTY IMAGES
El hackeo habría afectado a 1 millón de usuarios.

Según fuentes de la industria, la gran mayoría de las personas cuyos registros de llamadas han sido robados por piratas informáticos chinos no han sido notificadas, y no hay indicios de que la mayoría de las personas afectadas lo sean en un futuro próximo.

El FBI, AT&T y Verizon (las dos empresas de telecomunicaciones que la campaña de piratería parece haber afectado más gravemente) han alertado durante meses a algunas víctimas cuyas llamadas telefónicas fueron escuchadas o cuyos mensajes de texto fueron leídos.

Muchas de esas personas eran objetivos de inteligencia de alto valor relacionados con la política y el gobierno de Estados Unidos, dijo un funcionario del FBI en una llamada a los medios la semana pasada.

Las campañas presidenciales de Donald Trump y Kamala Harris, así como la oficina del líder de la mayoría del Senado Chuck Schumer, demócrata por Nueva York, dijeron a NBC News en octubre que el FBI les había informado de que habían sido atacados.

Los piratas informáticos accedieron a un tipo de información diferente, pero aún sensible, de muchas más personas, principalmente en el área de Washington, DC: información más generalizada sobre llamadas telefónicas y mensajes de texto, llamada metadatos.

Las compañías telefónicas mantienen registros como qué números de teléfono participaron en las llamadas y cuándo ocurrieron esas llamadas y potencialmente las ubicaciones de las torres celulares a las que se conectaron sus teléfonos.

Incluso si los registros no vinculan los números de teléfono con los clientes, los servicios de inteligencia pueden ya conocer los números de los objetivos y usar metadatos telefónicos para trazar un mapa de sus viajes y contactos.

Alan Butler, director ejecutivo y presidente de la organización sin fines de lucro Electronic Privacy Information Center, dijo que tener los metadatos telefónicos expuestos es una clara violación de la privacidad.

"Debería estar molesto, porque las prácticas deficientes de los operadores que resultan en la exposición de si llamó a un oncólogo o a su iglesia es una violación suficiente, independientemente de si el contenido real de esas llamadas también se reveló o no", dijo Butler a NBC News.

La campaña de piratería accedió a los metadatos de más de un millón de personas, dijo una fuente de la industria informada sobre el asunto.

El FBI no tiene planes de alertar a esas víctimas, dijo un funcionario de la agencia la semana pasada, y dos fuentes de la industria, una familiarizada con los planes de AT&T y otra con los de Verizon, dijeron que esas compañías no se han comunicado con la mayoría de ellas.

En un comunicado enviado por correo electrónico, un portavoz de AT&T dijo que la compañía “seguirá cumpliendo con nuestras obligaciones de notificar a las partes afectadas”.

Una persona familiarizada con los planes de la compañía dijo que eso significaba que AT&T estaba notificando solo a un número muy pequeño de víctimas que habían sido afectadas.

 La compañía telefónica estadounidense T-Mobile dijo el jueves que un intruso no identificado entró en su red a finales de noviembre y robó datos de 37 millones de clientes, como direcciones, números telefónicos y fechas de nacimiento.

Una persona familiarizada con los planes de Verizon dijo que había hecho un acercamiento similar a un pequeño número de clientes cuyas comunicaciones se vieron afectadas.

Ambas compañías se negaron a aclarar los planes para alertar a las personas cuyos metadatos fueron accedidos. La Comisión Federal de Comunicaciones, que supervisa las obligaciones de las empresas de telecomunicaciones con los clientes cuya información es violada, se negó a hacer comentarios.

La campaña de piratería, apodada Salt Typhoon, es uno de los mayores compromisos de inteligencia en la historia de Estados Unidos y ha violado ocho proveedores de servicios de telecomunicaciones e Internet nacionales y docenas de otros en todo el mundo, y todavía está en curso, dijo un funcionario de la Casa Blanca la semana pasada.

Estados Unidos, Australia, Canadá y Nueva Zelanda afirman que es parte de una operación de inteligencia realizada por China.

Un portavoz de la Embajada de China en Washington ha negado la responsabilidad.

Aunque algunos consideran que los metadatos telefónicos son menos sensibles que el contenido de las comunicaciones, aun así pueden proporcionar un enorme valor a los servicios de inteligencia.

En un foro de 2014, el general Michael Hayden, que anteriormente dirigió tanto la CIA como la Agencia de Seguridad Nacional, dijo: “Matamos a personas basándonos en metadatos”.

Dakota Cary, asesor sobre China en la empresa de ciberseguridad Sentinel One, dijo que la inteligencia china probablemente encontraría valiosos los registros de llamadas, las horas y las ubicaciones de los teléfonos del área de Washington.

“Si obtuvieran los datos de llamadas de la Región de la Capital Nacional, eso sería útil para la inteligencia”, dijo Cary. “Mapear las relaciones sociales entre grupos de políticos sería bastante útil”.

Las empresas de ciberseguridad estadounidenses y occidentales han acusado durante años a los ciberespías chinos de robar sistemáticamente información personal de los estadounidenses. China generalmente ha negado las acusaciones, a menudo refiriéndose a los propios esfuerzos de espionaje de Estados Unidos.

En una llamada a los medios la semana pasada, el alto funcionario de la Casa Blanca, que pidió no ser identificado, dijo que el gobierno no cree que todos los registros telefónicos de los estadounidenses hayan sido expuestos, pero que la inteligencia china había accedido a los metadatos de una gran cantidad de personas en las que estaría interesada.

En la llamada a los medios del FBI, el funcionario dijo que si bien había llevado a cabo una importante campaña de divulgación para las personas cuyas comunicaciones fueron accedidas, no lo haría para las personas a las que solo les robaron sus metadatos.

"Los proveedores y/o los operadores, cualquiera sea el término que queramos usar, realmente tendrían la responsabilidad de notificar a sus clientes sobre los registros robados. Eso normalmente no recaería en CISA o el FBI", dijo el funcionario del FBI. CISA es la Agencia de Seguridad Cibernética e Infraestructura.

“Cuando hemos podido demostrar que se interceptó contenido, ya sea texto o audio, el FBI ha enviado notificaciones individuales a las víctimas o a sus abogados”, dijo.

Además de AT&T y Verizon, otras empresas a las que se dirigió la campaña Salt Typhoon han dicho poco sobre lo que los piratas informáticos pudieron acceder o han dicho que los piratas informáticos no pudieron obtener mucho. 

Lumen, un proveedor de servicios de Internet de tamaño mediano con sede en Louisiana, fue identificado este año como víctima de Salt Typhoon, aunque no está claro qué pretendían obtener los piratas informáticos.

Un portavoz de Lumen dijo que la empresa no tenía pruebas de que los piratas informáticos chinos todavía estuvieran en sus redes y que “nuestros socios federales no han compartido ninguna prueba que sugiera lo contrario”.

Otro proveedor de servicios de Internet de tamaño mediano, Charter Communications, fue el objetivo de la campaña Salt Typhoon, dijo una persona familiarizada con el asunto.

A diferencia de otras compañías, T-Mobile ha sido relativamente abierta con el público respecto a haber sido inicialmente infiltrada por piratas informáticos que parecían estar afiliados a Salt Typhoon, aunque dice que el acceso de los piratas informáticos parece haber sido cortado y que no se accedió a los datos de los clientes.

Jeff Simon, el director de seguridad de la compañía, dijo que los piratas informáticos parecían haber intentado obtener acceso a través de otra compañía de telecomunicaciones.

"Pudimos detectar esa actividad con bastante rapidez y básicamente desconectarla o detenerla desconectando la conectividad con el otro proveedor de telecomunicaciones", dijo.

Simon reiteró que la campaña estaba en curso, sin embargo.

"No se dieron por vencidos", dijo. "Nuestra suposición es que este actor no se rendirá después de esta ronda. Quiero decir, seguirán tratando de volver a entrar".

Este artículo se publicó originalmente en inglés en NBC News. Haz clic aquí para leerlo.

Contáctanos