Telefónica nel mirino: ecco cosa (e quanto) sappiamo davvero sull’attacco “Dedale”
C’è qualcosa di paradossalmente poetico nel fatto che uno dei simboli della connettività globale si ritrovi a fare i conti con un incidente che – se confermato – nasce dalla più classica delle disconnessioni: la sicurezza dei dati. Telefónica ha annunciato di star “esaminando un’ipotetica violazione”, dopo che un gruppo di hacker che si firma Dedale ha pubblicato in rete un campione di un milione di record provenienti – pare – dalla sua ex-filiale peruviana, venduta ad aprile. Il gruppo rivendica di possedere l’intero bottino: 22 milioni di utenti. Reuters ha riportato la posizione ufficiale dell’operatore: i tecnici stanno validando l’autenticità dei dati e la reale estensione del leak. reuters.com
La notizia, rilanciata poche ore dopo da RCR Wireless con il suggestivo titolo “Telefónica probes potential cyberattack as global telco threats mount”, ricorda che non si tratta di un caso isolato: nel settore telecom gli attacchi si susseguono a ritmo serrato, perché poche industrie aggregano così tante informazioni sensibili in un unico posto. rcrwireless.com
Uno degli aspetti che rende l’episodio particolarmente spinoso è che i dati sembrerebbero riferirsi a un’unità aziendale che Telefónica ha già ceduto a Integra Tec International per la modica cifra di 900.000 euro. Sulla carta, il problema non dovrebbe più riguardare il colosso spagnolo; nella realtà, i dati restano congelati in backup, archivi di fatturazione, repository di log: cancellarli al momento del passaggio di consegne è più facile a dirsi che a farsi. Lo sottolinea anche la spagnola Cadena SER, ricordando che un singolo cliente può generare decine di record e che quindi la platea effettivamente coinvolta potrebbe essere inferiore ai numeri messi in vetrina dagli hacker. cadenaser.com
Se Dedale dice la verità, parliamo di 22 milioni di identità digitali che includono nome completo, documento d’identità, telefono, piano tariffario, perfino le note interne sullo “stato” del contratto. Non mancano i dettagli folkloristici: il riscatto chiesto è di appena 1.500 dollari, una cifra sorprendentemente bassa rispetto ai listini, forse un espediente per vendere rapidamente il database sul mercato nero.
Il contesto globale: non c’è solo Telefónica
Basta aprire la cronaca tech delle ultime settimane per rendersi conto che Dedale non è affatto da sola. A fine maggio, ad esempio, un presunto leak di 31 milioni di record AT&T ha agitato le acque Oltreoceano, sebbene gli analisti discutano ancora sull’attendibilità della prova pubblicata su forum specializzati. cybernews.com Il copione è simile: hacker in cerca di visibilità che brandiscono numeri a otto cifre e chiedono riscatti lampo. Il tutto avviene mentre i responsabili security dei grandi operatori corrono per tappare falle ereditate da legacy server, vendor eterogenei, fusioni e cessioni.
Perché i telco sono un bersaglio privilegiato
Dal punto di vista tecnico, rubare dati a un operatore equivale a mettere le mani su una miniera d’oro: profili anagrafici, cronologia di traffico, metadata che indicano da dove e con chi comunichiamo. È merce preziosa per il social engineering, per frodi finanziarie e – non ultimo – per campagne di spionaggio industriale o geopolitico. Inoltre le telco, a differenza di una banca o di un ospedale, devono gestire infrastrutture enormi fatte di migliaia di sistemi multi-vendor; basta una configurazione sbagliata in un apparato ormai fuori supporto per lasciare aperta la porta a un intruso.
Che cosa sappiamo (e cosa resta da capire)
Finora Telefónica ha confermato soltanto di aver avviato i controlli forensi, senza sbilanciarsi sull’origine dell’attacco né sulla presenza di vulnerabilità zero-day. Nessuna timeline ufficiale è trapelata sull’eventuale compromissione dei sistemi: il timore è che la fuga di dati sia avvenuta mesi prima della vendita, passando inosservata tra i log di routine. Da Madrid filtrano indizi su un possibile coinvolgimento di partner locali per la gestione dei data center peruviani, ma al momento regna il silenzio stampa.
Nel frattempo l’operatore ha cominciato a notificare i clienti coinvolti, seguendo la procedura prevista dal GDPR per gli utenti europei e dalle normative peruviane per quelli rimasti nella ex-filiale. Va detto che – come spesso accade – l’unico vero elemento verificato è il sample da un milione di record, analizzato da ricercatori indipendenti che ne hanno confermato la coerenza sintattica. Il resto è ancora tutto da dimostrare.
Il mio punto di vista
Da osservatore (e appassionato) di sicurezza delle reti, colgo due lezioni: primo, la due-diligence pre-vendita di un asset TLC deve comprendere non solo aspetti finanziari ma una mappatura esaustiva dei dati che rimangono nei backup; secondo, nel 2025 non possiamo più affidarci alla speranza che un database dimenticato resti invisibile. Strumenti di data discovery basati su AI stanno diventando indispensabili, così come strategie di data minimization che riducano la quantità di informazioni “parcheggiate” oltre il loro ciclo di vita.
Conclusione
Dedale ha ottenuto esattamente ciò che voleva: l’attenzione dei media. Resta da vedere se riuscirà a monetizzare il proprio trofeo o se, come spesso accade, il dataset finirà scontato in qualche marketplace underground dopo che i primi compratori avranno fiutato l’odore di raggiro. Telefónica, dal canto suo, dovrà dimostrare di saper voltare pagina non solo con una comunicazione trasparente ma con una revisione strutturale delle sue pratiche di gestione dei dati ereditati dalle consociate. Il rischio reputazionale, oggi, vale più di qualsiasi riscatto in bitcoin.
