El estado de Washington en los Estados Unidos ha presentado una demanda contra T-Mobile por alegaciones de que la compañía telefónica no protegió adecuadamente los datos personales de millones de residentes estatales antes de una brecha de seguridad en agosto de 2021, que afectó a más de 79 millones de clientes en todo el país.
En un comunicado anunciando la demanda, el fiscal general de Washington, Bob Ferguson, afirmó que T-Mobile «conocía desde hace años ciertas vulnerabilidades de ciberseguridad y no hizo lo suficiente para abordarlas». La demanda busca daños financieros bajo las leyes estatales de protección al consumidor y exige que T-Mobile mejore sus políticas de ciberseguridad.
El hackeo contra T-Mobile en agosto de 2021 fue solo el último de una serie de brechas de seguridad en la compañía en los últimos años, con al menos cinco incidentes que se remontan a 2018. La brecha permitió que un hacker accediera a los sistemas de T-Mobile y obtuviera nombres de clientes, fechas de nacimiento, números de Seguro Social e información de licencias de conducir. Algunos de estos datos robados fueron posteriormente publicados en un conocido foro de cibercriminales.
Ferguson acusó a T-Mobile de proporcionar una notificación inadecuada a los clientes afectados tras la brecha, «omitir información crítica y minimizar la gravedad», lo que, según él, afectó la capacidad de los consumidores para evaluar su riesgo de robo de identidad o fraude.
«Esta importante brecha de datos era totalmente evitable», declaró Ferguson en el comunicado de prensa. «T-Mobile tuvo años para solucionar vulnerabilidades clave en sus sistemas de ciberseguridad, y falló».
La demanda, presentada en un tribunal federal de Seattle, reveló deficiencias técnicas y políticas internas de la compañía que podrían haber facilitado al hacker el acceso y la descarga de datos de los servidores de T-Mobile. Se mencionó que el hacker descubrió un «nombre de usuario y contraseña fácil de adivinar», que T-Mobile utilizaba «credenciales débiles» y permitió la conexión desde una dirección IP externa.
Además, se señaló que T-Mobile no implementó límites de velocidad en los intentos de inicio de sesión, lo que permitió al hacker probar múltiples credenciales sin bloquear las cuentas de los empleados. La «configuración inadecuada de monitoreo y alertas» de la compañía también facilitó al hacker el acceso a la red sin ser detectado, según la queja de Ferguson.
En resumen, la demanda sostiene que las acciones de T-Mobile engañaron a los consumidores sobre la seguridad de sus datos, lo que podría haber afectado a un gran número de consumidores en Washington.
