En las últimas siete semanas, Snowflake ha tenido que lidiar con los efectos de un gran ciberataque que puso en riesgo los datos confidenciales de varios de sus clientes. Las cosas empeoraron mucho para la empresa de software.
En una declaración regulatoria publicada el viernes, AT&T dijo que los piratas informáticos irrumpieron en una plataforma en la nube que almacenaba datos de clientes y veía registros de llamadas y mensajes de texto de suscriptores de enero a junio de 2022. AT&T dijo en el comunicado que los datos incluyen números de teléfono, duración de todas las llamadas y cierta información sobre los sitios celulares.
Alguien de AT&T le dijo a CNBC que Snowflake era propietario del servicio en la nube. El viernes, el Nasdaq subió un 0,6% y las acciones de Snowflake cayeron un 1,8%.
Es el peor incidente desde que Snowflake informó al público sobre la violación el 30 de mayo. En una publicación de blog en ese momento, dijeron: "Nos dimos cuenta de un acceso potencialmente no autorizado a ciertas cuentas de clientes el 23 de mayo de 2024". Snowflake pidió a CrowdStrike, una empresa que fabrica software de protección, y Mandiant, una división de Alphabet, que ayudaran con la investigación.
Mandiant dijo en una publicación de blog el mes pasado que la compañía y Snowflake habían informado a 165 "organizaciones potencialmente expuestas" sobre el incidente a través de su "Programa de Notificación a Víctimas". Mandiant dijo que el hackeo fue realizado por un grupo llamado UNC5537, que tiene gente tanto en Norteamérica como en Turquía y sólo está interesado en ganar dinero. Utilizó información de inicio de sesión robada que estaba disponible en línea después de haber sido robada por separado por malware.
Antes del viernes, Advance Auto Parts, LendingTree, Live Nation, propietaria de Ticketmaster, y Santander Bank eran las empresas más conocidas vinculadas a la vulneración de Snowflake. A mediados de mayo, antes del anuncio de Snowflake, el Banco Santander dijo: "Recientemente nos enteramos de un acceso no autorizado a una base de datos de Santander alojada por un proveedor externo".
AT&T es mucho más grande. La compañía tenía 242 millones de personas que utilizaban sus servicios de movilidad inalámbrica en EE. UU. a finales de 2017, y 128 millones de dispositivos estaban vinculados a ellos.
La empresa propietaria de la red inalámbrica dijo que "casi todos los clientes inalámbricos de AT&T y los clientes de operadores de redes móviles virtuales" se vieron afectados por la infracción.
AT&T escribió: "Los datos no incluyen los nombres de los clientes, pero a menudo hay formas de utilizar herramientas en línea disponibles públicamente para encontrar el nombre que corresponde a un número de teléfono específico". Los atacantes no vieron lo que se decía en las llamadas o mensajes de texto.
Cuando se le preguntó sobre el hackeo de AT&T, un representante de Snowflake no dijo nada. El portavoz señaló lo que la empresa había dicho antes sobre el ataque.
En una publicación de blog, Mandiant dijo que parte del malware en los sistemas de Snowflake era de 2020 y que algunas de las credenciales robadas todavía eran utilizables años después. En algunos casos, las credenciales fueron robadas de las PC que los contratistas de los usuarios de Snowflake usaban para tareas personales, como descargar software ilegal.
Mientras los usuarios no hubieran activado la autenticación multifactor, los nombres de usuario y las contraseñas eran suficientes para que UNC5537 ingresara a sus entornos Snowflake, dijo Mandiant. Luego, los piratas informáticos enviaron "una cantidad significativa de datos de clientes" a otros lugares. Mandiant también dijo que UNC5537 ha comenzado a chantajear a la gente y a intentar vender su información personal en línea.
AT&T dijo el viernes que no cree que el ataque afecte demasiado sus finanzas.
Pero Snowflake ha dicho a los inversores que la empresa podría perder su buen nombre y tener "responsabilidades importantes" si hay "una violación de seguridad real o percibida o si partes no autorizadas obtienen acceso a los datos de nuestros clientes, nuestros datos o nuestra plataforma".
Snowflake escribió en su blog a principios de esta semana que los administradores pueden exigir la autenticación multifactor.
La historia se está volviendo más complicada, lo que dificulta las cosas para Sridhar Ramaswamy, quien asumió el cargo de director ejecutivo de Snowflake en febrero después de que Frank Slootman renunciara. Unos días antes de que saliera la noticia sobre la piratería, las acciones de Snowflake cayeron un 5% después de que la dirección de la empresa redujera su estimación de ingresos operativos ajustados para todo el año.
Snowflake se inició en 2012 y salió a bolsa en 2020. Fue la oferta pública inicial más grande de una empresa de software, recaudando más de $ 3 mil millones. El valor de mercado de Snowflake ha bajado desde su gran salto del primer día que lo situó en más de 70 mil millones de dólares. El viernes, sus acciones cerraron a 134,73 dólares, lo que le da un valor de alrededor de 45.000 millones de dólares.