Telefónica ha sufrido un ciberataque que ha afectado a su sistema de ticketing, y a través del cual se estima que se han podido filtrar 2,3 gigas de información, aunque esta no incluye los datos de sus clientes residenciales, según ha confirmado la propia compañía, pero sí a clientes corporativos. Los especialistas consultados indican que el ataque se ha producido a través de un phishing sofisticado con ingeniería social, que ha accedido hasta a 15 empleados y que, tras generar confianza en dos trabajadores de la compañía con varios mails, entraron en su sistema, aunque las defensas de Telefónica consiguieron parar y evitar un ataque de ransomware. Los cibercriminales ha colgado toda la información en los foros hackers, por lo que es pública y puede servir de munición para futuros ataques.
Desde la compañía de telecomunicaciones española han confirmado el ciberataque sufrido y han asegurado que ha tenido «constancia del acceso no autorizado a un sistema de ticketing interno que usamos en Telefónica». La empresa ha reconocido que tras el ciberataque, «en estos momentos seguimos investigando el alcance del incidente, pero podemos confirmar que los clientes residenciales no se han visto afectados. Desde el primer momento se han tomado las medidas necesarias para bloquear cualquier acceso no autorizado al sistema», según las explicaciones de Telefónica.
Los especialistas consultados por MERCA2 indican que tras estudiar los datos que se conocen sobre el ciberataque, este se ha producido mediante un «infostealer de dos etapas en un fichero word, y seguramente ha sido a través de un phishing sofisticado a través del propio sistema de ticketing», tal y como nos explica el experto en ciberseguridad de Erni, David Soto.
El infostealer que consiguieron introducir en Telefónica tiene funciones de cifrado como los ramsom, pero en lugar de pedir rescate cifran para eliminar sus huellas. Posiblemente algo lo paró antes de que pudiera ejecutarse esa parte
Un infostealer (o ladrón de información) es un malware que puede sustraer las contraseñas, cookies, acceso a webs, datos de tarjetas de crédito y todo tipo de información confidencial de los navegadores, aplicaciones y documentos de un dispositivo. «Ese infostealer que consiguieron introducir en Telefónica tiene funciones de cifrado como los ramsom, pero en lugar de pedir rescate cifran para eliminar sus huellas. Posiblemente algo lo paró antes de que pudiera ejecutarse esa parte«, nos indica Soto.
Este experto nos especifica que es más que posible que se haya tratado de «un ataque dirigido» y que el fallo o brecha de ciberseguridad se haya producido, «posiblemente tras haber intercambiado mensajes antes de enviar el fichero, generando una confianza previa». Soto indica que, en efecto, es «raro» que este tipo de amenazas se materialicen en una compañía como Telefónica, una de las que cuenta con mayores medidas de ciberseguridad implantadas, con «buena formación de sus empleados y buena defensa«.
Telefónica ha aclarado que sistema de ticketing de la compañía es el que utiliza la plantilla de la operadora para pedir determinadas cuestiones (como el cambio de una pantalla de ordenador) o para reportar incidencias técnicas. Para este sistema utiliza el conocido software JIRA, popularmente utilizado para la gestión de proyectos y para, precisamente, el seguimiento de errores e incidencias.
LOS HACKERS PRESUMEN DE ENTRAR EN TELEFÓNICA
Los datos del ciberataque han trascendido a través de varios medios especializados en ciberseguridad, como Bleeping Computer, cuando el pasado viernes publicaban la confirmación por parte de Telefónica de haber sufrido la incursión, una vez que la base de datos Jira de se filtrara en un foro de hackers, y la violación fuera reivindicada por «cuatro personas que utilizan los alias DNA, Grep, Pryx y Rey», según el medio.
Los ciberdelincuentes anunciaron su «hazaña» presumiendo de haber accedido a una brecha de datos de la multinacional española, y haber tenido acceso a «236.493 datos de líneas de clientes», mientras que Telefónica ha insistido en que no ha afectado a sus clientes residenciales. Los cibercriminales también aseguraron que han tenido acceso a los datos de 469.724 líneas de tickets internos de la compañía y a más de 5.000 archivos de diferentes tipos de extensiones informáticas, como documentos del entorno del sistema Office (pptx, xlsx o docx, entre otros). En total, han conseguido extraer 2,3 Gb de información.
han podido hacerse con los datos y los archivos, pero no han pedido rescate alguno porque no han conseguido encriptarlos
Así, los ciberdelincuentes se muestran orgullosos de lo conseguido al anunciar en el foro de hackers que «hoy (por el viernes) hemos subido la base de datos de Telefónica para que tú la descargues. Gracias por leernos y disfrútalo». No obstante, han podido hacerse con los datos y los archivos, pero no han pedido rescate alguno porque no han conseguido encriptarlos y la descarga de los que han robado es de acceso libre.
Otro especialista en ciberataques consultado por MERCA2 que ha accedido a ver la información hackeada nos indica que, en efecto, los atacantes se han mofado de la compañía y de sus fallos de protección al preguntar en público por qué ‘todos sus empleados podían tener acceso a los datos de todos sus clientes’, han confirmado haber accedido a las credenciales de hasta 15 empleados de Telefónica y han publicado en un foro hacker el link completo para descargar los datos obtenidos «que ya son públicos».
Una vez dentro, los delincuentes, «parte del grupo Hellcat, utilizaron estratégicamente la ingeniería social para ampliar su acceso. En particular, atacaron a dos empleados con privilegios administrativos, a los que engañaron para que revelaran el servidor correcto y les permitieran acceder por SSH» (siglas de Secure Shell, un protocolo de red destinado principalmente a la conexión con máquinas de manera segura) mediante ataques de fuerza bruta. Este enfoque multifacético pone de relieve la complejidad en constante evolución de las amenazas cibernéticas.
Así, estos mismos u otros delincuentes pueden utilizar esos datos para realizar «nuevas campañas de phishing sofisticado e ingeniería social a los clientes corporativos de Telefónica cuyos datos han quedado expuestos, y que es de dónde obtendrán rentabilidad», según el especialista consultado, que trabaja para una de estas empresas clientes de la teleco española.
los atacantes se han mofado de la compañía y de sus fallos de protección al preguntar en público por qué ‘todos sus empleados podían tener acceso a los datos de todos sus clientes’ y han confirmado haber accedido a las credenciales de hasta 15 empleados de Telefónica
Según este especialista, los atacantes «lograron extraer y exfiltrar una gran cantidad de datos internos» que incluyen 24.000 correos electrónicos y nombres de empleados de Telefónica, lo que «potencialmente los expone a mayores riesgos de phishing y suplantación de identidad».
También es grave la apropiación de 500.000 «problemas y resúmenes de JIRA«, que pueden revelar detalles operativos confidenciales, planes de proyectos y vulnerabilidades dentro de la infraestructura de Telefónica. «Esto plantea un riesgo significativo, ya que podría usarse para trazar flujos de trabajo internos y explotar debilidades», según la fuente consultada que ha podido confirmar estos datos en otra publicación especializada, Infostealers.
En cuanto a los documentos internos, se trata de comunicaciones por correo electrónico y de documentos que «probablemente contienen información confidencial, planes estratégicos y comunicaciones internas, lo que compromete también la seguridad operativa de Telefónica».
Este ingeniero afirma que «hasta que Telefónica haga un análisis de la red y vean hasta dónde han llegado, no se sabe el alcance real de lo que puede haber significado este ataque», señalando que la corporación la forman muchas empresas que «incluso son competencia entre ellas» y que deben «comunicarse más y atender a su programa de recompensas en materia de ciberseguridad» para evitar estas situaciones.
Según este especialista, los expertos en ciberseguridad de la firma Hudson Rock han publicado que el problema de Telefónica es más amplio y que «la vulneración era prácticamente inminente. Solo en 2024, Hudson Rock identificó que la compañía tenía nada menos que 531 computadoras de empleados infectadas por ladrones de información, lo que significa que 531 empleados diferentes descargaron y ejecutaron malware para robar información». Según aseguran, «cada infección provocó que las credenciales corporativas fueran robadas de sus computadoras y cayeran en manos de piratas informáticos».
Este experto consultado, que prefiere mantenerse en el anonimato, recuerda que la Agencia Española de Protección de Datos (AEPD) ha impuesto recientemente una multa a Telefónica de 1,3 millones de euros por inclumpir el Reglamenteo General de Protección de Datos (RGPD) por una exposición de datos en un caso similar al que se enfrenta en esta ocasión. También nos advierte que los atacantes de este viernes presumieron también en los foros de haber hackeado a otra teleco de la que no han revelado el nombre, por lo que cabe la posibilidad de que hagan público esos los datos de la otra operadora, o directamente los vendan en el mercado de la Dark Web.
Al menos tres de los cibercriminales implicados forman parte de una banda de ransomware (malware malicioso que secuestra la información de los sistemas informáticos e impide su recuperación y la utilización de los mismos) lanzada recientemente y conocida como Hellcat Ransomware. Los atacantes han reconocido haber utilizado esos «credenciales de empleados comprometidas» y que «Telefónica bloqueó su acceso» justo después de realizar restablecimientos de contraseñas en las cuentas afectadas.
No hace muchos meses, a finales del pasado mayo, Telefónica también se vio obligada a investigar la supuesta filtración de los datos de 120.000 usuarios y empleados de la compañía, que se habrían llegado a poner a la venta. A pesar de conocerse en mayo, la brecha de seguridad que dio pie al acceso a esos datos tuvo lugar el pasado marzo, tal como desveló a través de la red social X la empresa de ciberseguridad HackManac.
