La infracción de cinco años dio a los piratas informáticos acceso a miles de millones de mensajes de texto

Una empresa que maneja la mensajería de texto y la infraestructura general de telecomunicaciones para operadores de todo el mundo ha confirmado que ha sido pirateada, y los presentadores podrían tener acceso a cierta información confidencial de los clientes durante años.

Revelado en un archivo de la SEC el 27 de septiembre, Syniverse advierte que un “individuo u organización obtuvo acceso no autorizado a bases de datos dentro de su red” y que sus sistemas accedidos por 235 clientes se habían visto comprometidos.

  

Como Syniverse proporciona un backend de comunicaciones, y cada uno de esos clientes podría ser un operador por derecho propio, esto podría implicar una infracción que afecte a cientos de millones de personas, si no miles de millones. Syniverse se negó a revelar la escala de la violación, ni el tipo de datos que se vieron afectados por ella.

Una fuente de informes que trabaja en un operador ofreció que los tipos de datos podrían incluir muchos metadatos, como la duración y el costo de una llamada o mensaje, números de teléfono, ubicaciones y el contenido de los mensajes de texto. Como centro de intercambio común para los operadores, “inevitablemente transporta información confidencial como registros de llamadas, registros de uso de datos, mensajes de texto, etc.”, agregó la fuente.

Es poco probable que la violación haya afectado a los servicios de mensajería segura como iMessage debido al uso de cifrado de extremo a extremo, al menos para las comunicaciones entre usuarios del mismo servicio. En el caso de iMessage, si el destinatario no está registrado con Apple, se entrega como un mensaje de texto, por lo que no está tan protegido.

Si bien la divulgación se produjo a fines de septiembre, parece que la violación duró muchos años, a partir de mayo de 2016 y hasta mayo de 2021.

Los clientes de la compañía incluyen AT&T, Verizon, T-Mobile y otras firmas importantes, que procesan más de 740 mil millones de mensajes de texto al año. Con la falta general de seguridad de los SMS, el investigador de seguridad Karsten Nohl dice que podría ser un “desastre de privacidad global”.

Con acceso directo a registros de llamadas telefónicas y mensajes de texto, junto con acceso indirecto a cuentas protegidas con autenticación de dos factores basada en SMS, “Hacking Syniverse facilitará el acceso a Google, Microsoft, Facebook, Twitter, Amazony todo tipo de cuentas, todas a la vez “, dijo Nohl.

El senador Ron Wyden emitió un comunicado llamando a los datos que Syniverse maneja como “oro del espionaje” a los estados nacionales. “El hecho de que esta infracción no se haya descubierto durante cinco años plantea serias dudas sobre las prácticas de ciberseguridad de Syniverse”.

Wyden dijo que la Comisión Federal de Comunicaciones debería investigar el asunto. La investigación debe determinar si las políticas de Syniverse fueron negligentes, ver si otras compañías similares sufrieron violaciones similares y luego establecer “estándares obligatorios de seguridad cibernética para esta industria”, dijo Wyden.