T-Mobile está invirtiendo millones de dólares en la renovación de sus prácticas de ciberseguridad como parte de un acuerdo con la Comisión Federal de Comunicaciones (FCC) de EE. UU. La compañía también deberá pagar al Tesoro de EE. UU. 15.75 millones de dólares en sanciones civiles, la misma cantidad que su inversión interna en ciberseguridad. La FCC ha declarado que este acuerdo «innovador» servirá como modelo para la industria.
Contexto de las Violaciones de Datos
Las violaciones de datos en T-Mobile en los últimos años han expuesto números de seguro social, direcciones y números de licencia de conducir de millones de personas. Estas brechas han llevado a una revisión exhaustiva de las prácticas de seguridad de la compañía.
El acuerdo aclara varias investigaciones de T-Mobile relacionadas con incidentes de ciberseguridad en 2021, 2022 y 2023. Según el comunicado de prensa de la FCC, “…las investigaciones desarrollaron evidencia de que las violaciones que ocurrieron, las cuales afectaron a millones de clientes de teléfonos celulares, variaron en su naturaleza, explotaciones y métodos de ataque”.
Multas Anteriores
Recientemente, T-Mobile pagó una multa de 60 millones de dólares por no informar incidentes de acceso no autorizado a datos sensibles, lo que violó su acuerdo de seguridad nacional al adquirir Sprint.
Mejoras en Ciberseguridad de T-Mobile
T-Mobile ha anunciado las siguientes mejoras en su ciberseguridad:
- Gobernanza Corporativa: El Director de Seguridad de la Información de T-Mobile presentará informes regulares a la junta sobre la postura de ciberseguridad de la empresa y los riesgos comerciales que plantea. Este compromiso asegura que la visibilidad de la junta sobre la ciberseguridad sea una prioridad clave.
- Arquitectura Moderna de Cero Confianza: T-Mobile se moverá hacia una arquitectura de cero confianza y segmentará sus redes, lo que es fundamental para mejorar su postura de seguridad.
- Gestión Robusta de Identidad y Acceso: La compañía se ha comprometido a adoptar métodos de autenticación multifactor en su red, un paso crítico para asegurar la infraestructura crítica de telecomunicaciones. La aplicación consistente de mejores prácticas en identidad y acceso es esencial para prevenir violaciones de datos y ataques de ransomware.
Con estas medidas, T-Mobile busca no solo remediar las deficiencias pasadas, sino también establecer un nuevo estándar en la industria de las telecomunicaciones para la protección de datos y la ciberseguridad.