Según los resultados de las pesquisas, publicados este viernes, la brecha se debió a una gestión deficiente de las credenciales de las cuentas, a una respuesta inadecuada al incidente, que se remonta a febrero de 2022 pero que no se detectó hasta el 18 de abril de este 2025, y a un cifrado insuficiente de la información crítica.
La investigación conjunta entre autoridades y expertos del sector privado, bajo la que se realizó una inspección exhaustiva de los 42.605 servidores de SK Telecom, detectó 28 servidores infectados con 33 tipos distintos de programas maliciosos ‘malware’.
Lea más: Cuando la IA discrimina: así funcionan los sesgos invisibles
Los servidores infectados permitieron el acceso a 25 tipos de datos personales, incluyendo claves de autenticación de tarjetas USIM (9,82 GB en total), de 26,96 millones de SIM, equivalentes a la mitad de la población, si cada uno tuviera una sola tarjeta.
Durante el análisis, y sin que esté directamente relacionado con este incidente en concreto, los investigadores detectaron también un ‘malware’ específico en 88 servidores debido a la “deficiente seguridad de la cadena de suministro”, señalan, y supieron que la propia SK Telecom eliminó de forma independiente, sin notificar a las autoridades, como estipula la normativa local, dos tipos de programas maliciosos en febrero de 2022.
“SK Telecom incumplió su deber de tener cuidado para proteger los datos USIM y no cumplió con la normativa pertinente. Por lo tanto, se considera que la empresa incurrió en negligencia en este incidente”, por lo que debe cumplir “adecuadamente con su obligación como proveedor de servicios de proteger los datos USIM y garantizar la seguridad de las comunicaciones”, determina el informe.
Lea más: Deepfakes cada vez más reales: el desafío que se nos viene encima
Futuras ciberamenazas: aún más sofisticadas
En vista de la “negligencia” y lo que considera “incumplimiento de obligaciones contractuales clave”, el Ministerio de Ciencia y Tecnologías de la Información y la Comunicación (TIC) surcoreano ordenó a la empresa eximir del pago de las tasas de cancelación a los usuarios que se dieron de baja a raíz del incidente, uno de los peores casos de filtración de datos en la historia del país.
Las autoridades estatales también señalaron que multarán a la firma por la falta de notificación adecuada y, aunque no revelaron inmediatamente el monto exacto, señalaron que la cifra será inferior a 30 millones de wones (unos 19.000 euros). Agregaron que se remitirá a la empresa a una mayor investigación por presunta violación de una orden de conservación de datos.
Lea más: Qué es un ataque DDoS y cómo puede desconectar a todo un país de internet
“SK Telecom debe abordar las vulnerabilidades identificadas en este incidente y hacer de la seguridad de la información una prioridad de gestión de cara al futuro”, declaró el ministro de Ciencia, Yoo Sang-im, en una rueda de prensa recogida por la agencia local de noticias Yonhap, en la que añadió que esta brecha sirve como “una llamada de atención” no sólo para la industria nacional, sino al sector de infraestructura de red en general.
Yoo advirtió que es probable que las futuras ciberamenazas se vuelvan aún más sofisticadas a medida que se combinan con la inteligencia artificial, un sector emergente.
El informe no ofrece detalles sobre el origen del ciberataque, pero analistas del sector privado señalaron que Red Menshen, una organización de hackers vinculada a China por firmas de ciberseguridad y presuntamente respaldada por Pekín, podría ser responsable del ataque, dada su vinculación previa con el uso del programa de infiltración BPFDoor en ofensivas similares contra compañías de telecomunicaciones en Asia.