Arbitraje contra T-Mobile: La empresa pagará $33 millones por negligencia en caso de SIM swapping
Abogados californianos ganaron una demanda multimillonaria contra un operador de telefonía móvil.
El bufete de abogados Greenberg Glusker de California logró en un tribunal de arbitraje que se impusiera una indemnización de $33 millones a T-Mobile. La demanda se basó en graves fallos de seguridad que permitieron un exitoso ataque mediante intercambio de SIM.
El incidente ocurrió el 21 de febrero de 2020, cuando un empleado de T-Mobile transfirió el número de teléfono del cliente Joseph “Josh” Jones a una tarjeta SIM que estaba bajo el control de un delincuente. Como resultado del ataque, se robaron más de 1500 bitcoins y alrededor de 60,000 Bitcoin Cash, valorados en $38 millones en el momento del robo.
La cuenta de Jones en T-Mobile tenía protección adicional, incluido un PIN de ocho dígitos que debía impedir cualquier cambio. Esto llevó a la víctima a suponer que los atacantes utilizaron una vulnerabilidad en los sistemas del operador móvil para tomar el control de su cuenta.
La petición de Greenberg Glusker para confirmar la decisión arbitral, presentada ante un tribunal de Los Ángeles y proporcionada al medio SecurityWeek, revela que la investigación policial identificó como responsable a un adolescente de 17 años con diagnóstico de TDAH. Según los datos disponibles, tenía vínculos con los hackers Nima Fazeli y Joseph O'Connor, quienes también participaron en 2020 en el hackeo de decenas de cuentas de Twitter.
La decisión del arbitraje contra T-Mobile se mantuvo en secreto desde el otoño de 2023. Según el bufete de abogados, el operador intentó mantener confidencial la información sobre las debilidades de su sistema de seguridad.
Paul Blecher, de Greenberg Glusker, subrayó que el problema del SIM swapping ha sido una vulnerabilidad sin resolver durante años. Según él, los operadores de telecomunicaciones, incluida T-Mobile, conocían el problema pero no tomaron medidas suficientes para proteger a sus clientes.
El ataque mediante intercambio de SIM representa una amenaza seria, ya que los números de teléfono suelen utilizarse para la autenticación de dos factores en diversos servicios en línea. Al obtener el control del número, los delincuentes pueden cambiar los datos de acceso y tomar el control de las cuentas de los usuarios.
Uno de los casos más conocidos de esta técnica fue el hackeo masivo de Twitter en 2020. En aquel entonces, los hackers atacaron 130 cuentas y tomaron el control de 45 de ellas, incluidas las de figuras públicas como Bill Gates, Jeff Bezos, Joe Biden, Elon Musk y Mike Bloomberg.
No esperes a que los hackers te ataquen: ¡suscríbete a nuestro canal y conviértete en una fortaleza impenetrable!