Pocos días antes de Halloween, los clientes de usuarios de tecnología registrados en Servicios de Telecomunicaciones de Trinidad y Tobago (TSTT) recibieron la aterradora noticia de un ataque de malware de rescate, o ransomware, a la empresa. El periodista local especializado en tecnología Mark Lyndersay, que escribe en Tech News T&T, dice que varios sitios de notificación de violaciones de datos señalaron «la exfiltración de datos de los sistemas [de la empresa] [el] 27 de octubre de 2023″.
El culpable era RansomEXX, infame grupo de ransomware que, como su nombre indica, mantiene los datos como rehenes hasta que se paga un rescate. El 28 de octubre, la publicación de Tech News T&T se había actualizado para avisar que Dark Web Informer, cuenta de Twitter dedicada a informar sobre violaciones de datos, había accedido a una nota que afirmaba que habían advertido a TSTT de las intenciones de los piratas cibernéticos. Al día siguiente, RansomEXX publicó un archivo CSV como prueba del éxito de su filtración de datos, que contenía información detallada de más de 800 000 clientes de TSTT, pero que no era en absoluto representativo de todos los datos vertidos.
Dos días después, el 31 de octubre, TSTT afirmó que, aunque se había producido un intento de ataque informático, pero que había fracasado, mientras que el ministro de Servicios Públicos, Marvin Gonzales, negó que hubiera ataque alguno. Durante toda la debacle, el periodista tecnológico Lyndersay sostuvo que «se trata de la privacidad del cliente y de su derecho a saber».
El 3 de noviembre, TSTT pasó finalmente de insistir en que «no hubo pérdida ni compromiso de los datos de los clientes» a declarar que «los datos divulgados contienen en gran medida información identificativa, y TSTT pide disculpas a aquellos clientes a cuya información accedieron estos terroristas cibernéticos». Sin embargo, su comunicado seguía intentando suavizar la situación, añadió que «los 6 GB a los que se ha accedido representan menos del 1% de los petabytes de datos que la empresa produce y almacena», y que representan información «de un pequeño subconjunto de la base de clientes de TSTT».
Se apresuró a añadir que, si bien el ataque accedió a los nombres, direcciones de correo electrónico y de domicilio, identificaciones con foto, números de cuenta y de teléfono móvil y recibos de pago de los clientes, no incluyó registros de llamadas, contraseñas ni información financiera de los clientes, por lo que «no hubo un riesgo elevado de actividad fraudulenta para el grupo de clientes afectados». La empresa también «refutó categóricamente» las afirmaciones de que su centro de datos había sido violado, y las calificó de «totalmente inexactas, mal informadas y malintencionadas».
Lyndersay, sin embargo, explicó:
Noting that the company generates terabytes of data is a straw man tactic to draw attention from the specifics and seriousness of the exfiltration. What matters is which 6GB of data the company has had copied off its servers.
Señalar que la empresa genera terabytes de datos es una táctica de subterfugio para desviar la atención de los detalles y la gravedad de la filtración. Lo que importa son los 6 GB de datos que la empresa ha hecho copiar de sus servidores.
El 1 de noviembre, antes de la actualización del comunicado de prensa de TSTT, una de las actualizaciones en curso de Lyndersay en la publicación de Tech News T&T reveló que una revisión independiente del vertido de datos sugería que «contraseñas de sistemas internos y contraseñas de clientes externos formaban parte del paquete de datos exfiltrado de los servidores de la empresa»:
TSTT has had days to examine the data that is, as it acknowledged in its press release, in the public domain, but has not advised whether it has warned business customers of their exposure in this breach. The company continues to make no effort to issue any warnings to its over-the-counter customer base about exposure of their personally identifiable information.
TSTT ha tenido días para examinar los datos que, como reconoce en su comunicado de prensa, son de dominio público, pero no ha comunicado si ha advertido a los clientes comerciales de su exposición en esta violación. La empresa sigue sin hacer ningún esfuerzo por advertir a su base de clientes de venta libre sobre la exposición de su información personal identificable.
«Ya que TSTT no lo dice, lo diré yo», continuó Lyndersay, antes de aconsejar a los lectores que cambiaran sus contraseñas y «hablaran con los representantes de la empresa sobre su exposición».
También escribió en Tech News T&T Rishi Maharaj, consultor en protección de datos, quien expresó su preocupación por el momento en que se produjo la filtración de datos:
TSTT mentions that they became aware of the cyber-attack on October 9th, 2023. The gap between the attack and public disclosure appears to be significant, which could be concerning under Data Protection principles, especially as people’s personal data was comprised.
TSTT menciona que tuvo conocimiento del ciberataque el 9 de octubre de 2023. La brecha entre el ataque y la divulgación pública parece ser significativa, lo que podría ser preocupante en virtud de los principios de protección de datos, especialmente porque se trataba de datos personales.
Según Maharaj, en Trinidad y Tobago «no hay leyes» que obliguen a las empresas a notificar las violaciones de datos a un organismo regulador en un plazo determinado (normalmente de tres a cinco días) ni a informar a las personas afectadas, o incluso a informar sobre la naturaleza de los datos robados. La ley de protección de datos del país contiene una cláusula relativa a la protección de la información personal que dice:
A public body shall protect personal information in its custody or under its control by making reasonable security arrangements against such risks as unauthorised access, collection, use, alteration, disclosure or disposal.
Los organismos públicos protegerán la información personal en su custodia o control adoptando medidas de seguridad razonables contra riesgos tales como el acceso, la recolección, el uso, la alteración, la divulgación o la eliminación no autorizados.
Tras señalar que la afirmación inicial de TSTT de que no se habían perdido datos era «alarmantemente» contradictoria con las pruebas presentadas por RansomEXX, Maharaj consideró que el incidente «pone de manifiesto la necesidad de revisar la legislación, desde el punto de vista de la protección de datos, y también desde la perspectiva de la ciberdelincuencia, para establecer un regulador independiente y dotar a TT CSIRT [Equipo de Respuesta a Incidentes de Ciberseguridad de Trinidad y Tobago] de la capacidad de actuar de forma independiente y garantizar la exactitud y la publicación oportuna de la información y las investigaciones [y] hacer que las empresas sean honestas y se hagan responsables».
La Autoridad de Telecomunicaciones de Trinidad y Tobago se declaró «perturbada» por la violación de datos, y añadió que consideraba este asunto «grave» y que planeaba «trabajar con los proveedores de servicios para garantizar que se mantenía el más alto nivel de seguridad de la red». Mientras tanto, los usuarios de las redes sociales empezaron a sentir pánico por la difusión de sus datos personales en la red oscura, incluso cuando los expertos en ciberseguridad decían que no había nada que hacer al respecto.
Quantum Chaos, empresa mundial de desarrollo de software y tecnología con oficinas en el Caribe, intentó ayudar a sus clientes a determinar si su información estaba en peligro y creó un enlace de búsqueda basado en nombres. Muchos aprovecharon la herramienta, que permitía a los usuarios determinar el número de documentos filtrados asociados a sus nombres. Sin embargo, el enlace no fa acceso a los datos vertidos.
En su página de LinkedIn, Quantum Chaos reflexionó:
TSTT's recent breach reminds us that there is a mountain of work yet to do before we get #caribbean organisations #secure
The first step is education.
La reciente brecha de TSTT nos recuerda que aún queda mucho trabajo por hacer antes de conseguir organizaciones caribeñas seguras.
El primer paso es la educación.
Para colmo de males, TSTT comparó la información obtenida en la filtración con la de una guía telefónica, comparación que Lyndersay consideró «absurda»: «Una guía telefónica no es información maleable que pueda compararse con otros conjuntos de datos. Tampoco contiene información sobre cuentas bancarias ni datos de identificación personal».
Mientras el ministro de Servicios Públicos de Trinidad y Tobago daba un giro total y pedía una investigación sobre el ataque a TSTT, y los consultores de seguridad advertían que podría volver a atacar, Lyndersay recordó que hace dos años, RansomEXX había al proveedor regional de telecomunicaciones, Digicel.
En Facebook, el estratega digital Keron Rose comentó:
We can't blame TSTT for getting hacked…it can happen to anybody.
The handling and communication from the Minister and TSTT trying to pretend that nothing has happened or that your data is perfectly safe is the problem.
No podemos culpar a TSTT de que los hayan tenido un ataque cibernético… le puede pasar a cualquiera.
El problema es la gestión y la comunicación del ministro y de TSTT, que intentan fingir que no ha pasado nada o que tus datos están perfectamente seguros.
Sobre un informe sobre ciberseguridad del Jamaica Observer, Rose añadió:
The OAS Cybersecurity Symposium taught me that the Caribbean is getting hammered by security breaches, with Ransomware being the breach of choice. […]
Caribbean Cybersecurity is extremely underdeveloped, with a 93% gap in the human capital needed to secure our regions data.
TSTT is just another company in the long list of companies getting hacked with their data and systems exposed.
El Simposio de Ciberseguridad de la OEA me enseñó que al Caribe lo están golpeando brechas de seguridad, y el ransomware es la brecha elegida. […]
La ciberseguridad en el Caribe está extremadamente subdesarrollada, con una brecha del 93% en el capital humano necesario para asegurar los datos de nuestras regiones.
TSTT no es más que otra empresa en la larga lista de compañías a las que han atacado, y cuyos datos y sistemas han quedado expuestos.