Exclusiva: Hackers filtran 86 millones de registros de AT&T con números de seguro social descifrados
Los piratas informáticos han filtrado lo que afirman que es la base de datos de AT&T, que según se informa fue robada por el grupo ShinyHunters en abril de 2024 después de explotar importantes fallas de seguridad en la plataforma de datos en la nube Snowflake.
Como vio el equipo de investigación de Hackread.com, los datos se publicaron por primera vez en un conocido foro ruso sobre delitos cibernéticos el 15 de mayo de 2025. Se volvieron a subir al mismo foro el 3 de junio de 2025, después de lo cual comenzaron a circular entre otros piratas informáticos y foros.
Tras analizar los datos filtrados, descubrimos que contienen un conjunto detallado de información personal. Cada uno de estos datos representa un grave riesgo para la privacidad por sí solo, pero en conjunto crean perfiles de identidad completos que podrían utilizarse para cometer fraude o robo de identidad . Los datos incluyen:
- 44 millones de números de Seguro Social (SSN) (43.989.219 en total)
Lo preocupante es que el actor de amenazas afirma que tanto la fecha de nacimiento como el número de Seguro Social (SSN) estaban originalmente cifrados, pero que desde entonces se han descifrado por completo y ahora se incluyen en los datos filtrados como texto sin formato. En resumen, si eres cliente de AT&T, tu SSN podría formar parte de esta filtración.
No es que cambie mucho; sus números de Seguro Social probablemente ya estuvieron expuestos en la violación de datos públicos nacionales de agosto de 2024, donde piratas informáticos ahora arrestados que usaban el alias USDOD filtraron más de 3.2 mil millones de números de Seguro Social y otros detalles personales en línea.
AT&T tiene un largo historial de filtraciones de datos a gran escala, así que si esto te suena familiar, no te lo estás imaginando. Abróchate el cinturón, esta es solo la última de una lista que crece.
En abril de 2024, según informó Hackread.com , AT&T experimentó una importante violación de datos cuando los piratas informáticos accedieron a su entorno de nube Snowflake, comprometiendo los metadatos de llamadas y textos de casi 110 millones de clientes.
La violación duró desde mayo de 2022 hasta octubre de 2022 e incluyó algunos registros de enero de 2023, expuso números de teléfono, recuentos de interacciones y duraciones de llamadas, aunque no el contenido de las comunicaciones ni información de identificación personal.
El ciberataque formó parte de una campaña a gran escala dirigida a más de 160 clientes de Snowflake . Los hackers aprovecharon credenciales robadas sin autenticación multifactor para infiltrarse en estos entornos.
Los datos comprometidos de AT&T fueron robados por un hacker asociado con el grupo ShinyHunters. Los informes indican que AT&T pagó un rescate de aproximadamente $370,000 en Bitcoin para eliminar los datos robados, una transacción facilitada a través de un intermediario conocido como Reddington.
Vale la pena señalar que el grupo ShinyHunters también se atribuyó el mérito de la importante violación de datos de Ticketmaster relacionada con la falla de seguridad de Snowflake en la que los datos de 560 millones de usuarios se pusieron a la venta en línea.
En respuesta a la filtración, AT&T inició un proceso de respuesta a incidentes con expertos externos en ciberseguridad, cerró el punto de acceso no autorizado y notificó a los clientes afectados. La compañía declaró que no cree que los datos sean de acceso público.
La filtración provocó el escrutinio de los legisladores estadounidenses, y los senadores Richard Blumenthal y Josh Hawley exigieron explicaciones a AT&T y Snowflake sobre las fallas de seguridad que provocaron el incidente. Expresaron su preocupación por el uso indebido de los datos comprometidos por parte de actores maliciosos.
El actor de amenazas detrás de la última filtración afirma que la base de datos contiene 70 millones de registros de clientes de AT&T robados en abril de 2024 mediante la explotación de una importante vulnerabilidad de seguridad en el almacén de datos en la nube Snowflake.
"Originalmente, una de las bases de datos de la filtración de Snowflake, aquí está la copia de seguridad que creé", declaró la cuenta detrás de la filtración de datos. ¿Pero es cierta esa afirmación? No del todo.
El análisis de Hackread.com revela que el conjunto de datos incluye más de 88 millones (88.320.018) de registros. Tras eliminar los duplicados, la cifra se reduce a más de 86 millones (86.017.090) de entradas únicas, una cifra muy superior a los 70 millones declarados.
Hay otro problema. El contenido de la base de datos no coincide completamente con lo reportado en la filtración de datos de AT&T relacionada con Snowflake. Dicha filtración supuestamente expuso casi 110 millones de registros de clientes, incluyendo metadatos de llamadas y mensajes de texto; ninguno de los cuales aparece en esta nueva filtración.
Entonces, ¿es esta una base de datos parcial de AT&T proveniente de la filtración de Snowflake? Quizás sí, quizás no. Pero a menos que AT&T lo confirme oficialmente, no hay forma de saberlo con certeza.
En agosto de 2021, el conocido grupo de hackers ShinyHunters afirmó poseer una base de datos con la información personal de más de 70 millones de clientes de AT&T . La pusieron a la venta en el mercado Raid Forums, ahora confiscado , por un precio inicial de 200.000 dólares.
Hackread.com revisó registros de muestra proporcionados por el grupo en 2021, que incluían nombres completos, direcciones, códigos postales, fechas de nacimiento, direcciones de correo electrónico y números de Seguro Social (SSN) cifrados. AT&T respondió afirmando que, según su investigación, la información no parecía provenir de sus sistemas.
Sin embargo, en abril de 2024, tras casi dos años de negación, AT&T reconoció la filtración de datos de agosto de 2021 cuando ShinyHunters filtró la base de datos completa en BreachForums. «Según nuestro análisis preliminar, el conjunto de datos parece ser de 2019 o anterior, afectando a aproximadamente 7,6 millones de titulares de cuentas de AT&T y a 65,4 millones de antiguos titulares», admitió la compañía.
Hackread.com ha detectado varias similitudes y diferencias entre la filtración de AT&T de abril de 2024 y la más reciente. La filtración de abril de 2024 fue un desastre mal estructurado. Los datos aparecían en un formato poco organizado, delimitado por barras verticales y sin etiquetas de campo, lo que dificultaba su interpretación o análisis sin un esquema correspondiente que explicara cada valor.
La última filtración está bien estructurada, tiene un formato claro y se divide en tres archivos CSV, lo que facilita la comprensión de la representación de cada campo. Curiosamente, la mayor similitud y diferencia entre ambas filtraciones reside en el manejo de los números de la Seguridad Social (SSN). En la filtración de 2024, los SSN estaban cifrados. Sin embargo, en la última filtración, esos mismos SSN parecen haber sido descifrados.
Hackread.com realizó un análisis detallado y descubrió que todos los SSN previamente cifrados de la filtración anterior se han descifrado cuidadosamente y mapeado en el nuevo conjunto de datos, lo que los hace más accesibles para uso malicioso.
También encontramos coincidencias en los nombres, correos electrónicos, direcciones físicas y números de teléfono de los clientes en ambas filtraciones. Sin embargo, mientras que la filtración de 2024 contenía alrededor de 73 millones de registros, el conjunto de datos más reciente incluye 86 millones.
Esto no aclara si la nueva filtración se refiere simplemente a la base de datos de 2024 con valores descifrados o si proviene de la brecha de seguridad más reciente relacionada con Snowflake. Dicho esto, los datos parecen legítimos, sobre todo porque AT&T ya reconoció la brecha de seguridad y la filtración de datos anteriores.
En este momento, es difícil determinar con certeza si la base de datos recién filtrada es una versión descifrada de la filtración de Snowflake de 2024, un volcado independiente o una combinación de ambos. Sin embargo, lo que sí está claro es que una cantidad masiva de datos altamente sensibles de clientes de AT&T está circulando de nuevo, esta vez de forma más organizada y potencialmente más peligrosa.
Con números de la Seguridad Social descifrados, información personal completa y un patrón creciente de exposición repetida, los riesgos para los usuarios afectados son mayores que nunca. Si bien AT&T ha reconocido filtraciones anteriores, la compañía aún no ha confirmado si este último conjunto de datos forma parte del mismo incidente o es algo completamente nuevo.
Lamentablemente, hasta que se emita una respuesta formal, los clientes desprevenidos no tendrán información, y dependerán de nuestro informe y de los foros para comprender el alcance de su exposición. No obstante, nos hemos puesto en contacto con AT&T y este artículo se actualizará en consecuencia.
HackRead
