- SK Telecom sufrió una violación de datos que se descubrió en abril de 2025
- Afectó a aproximadamente 27 millones de personas
- La compañía fue multada por ello y necesitará hacer cambios significativos en sus operaciones.
SK Telecom (SKT), uno de los mayores proveedores de servicios de telecomunicaciones en Corea del Sur, recibió una multa de casi $ 100 millones por no proteger los datos del usuario.
En abril de 2025, la compañía descubrió un malware violación que permitió a los actores de amenaza acechar dentro de sus sistemas durante años. Algunos investigadores incluso afirman que el ataque comenzó en agosto de 2021.
Los delincuentes se dirigieron al servidor de suscriptores caseros (HSS) de SKT y otra infraestructura crítica, exponiendo datos de suscriptores confidenciales, incluidas las claves de autenticación de USIM (KI), números de identidad de suscriptores móviles (IMSI) internacionales, identificadores de dispositivos IMEI, números de teléfono, direcciones de correo electrónico y posiblemente otros datos personales.
“Condición muy débil”
Aproximadamente 27 millones de personas fueron afectadas por la violación.
Ahora, Reuters informa que la Comisión de Protección de Información Personal dirigida por el gobierno emitió una declaración, confirmando la multa de aproximadamente 134 mil millones Won ($ 96.53 millones) por “descuidar su deber de tomar medidas de seguridad” y por “retrasos en la notificación de la fuga a los clientes”.
La declaración también afirma que los sistemas de Skt estaban en una “condición muy débil” que permitió a los actores de amenaza acceder a la intranet de la compañía. No hubo contraseñas u otras medidas de seguridad, defendiendo los servidores de la influencia externa, y sistemas operativos estaban desactualizados y corriendo sin lo último parches de seguridad.
Además de verse obligado a pagar la multa, la compañía también tendrá que “fortalecer las reglas de seguridad sobre la protección de la información” y renovar su gobierno.
Respondiendo a una consulta de Reuters, SK Telecom dijo que “sintió una grave responsabilidad” y hará que proteger la información del cliente sea una “prioridad máxima”.
En respuesta, lanzó un “Plan de innovación de seguridad de la información”, que incluye la implementación de arquitectura de confianza cero, expandir el cifrado, formar un equipo rojo, elevar el rol de CISO para informar directamente al CEO y agregar expertos en ciberseguridad a la Junta.
Los clientes recibieron reemplazos de tarjetas USIM gratuitos y se les ofreció un 50% de descuento en las tarifas de suscripción de agosto. Además, quien quisiera cancelar su contrato prematuramente se le permitió hacerlo sin tarifas adicionales.
A través de Reuters
