Breve breve:
- Un juez federal de la Corte de Distrito ha otorgado una aprobación preliminar a un acuerdo propuesto de $ 177 millones entre AT&T y los demandantes que demandaron a la compañía el año pasado por un par de infracciones masivas de seguridad de datos que afectan a millones de clientes.
- Las infracciones dieron como resultado una serie de demandas que finalmente se combinaron en una sola queja de acción de clase ante el juez Ada Brown, del Tribunal de Distrito de los Estados Unidos para el Distrito Norte de Texas. El juez ha programado una audiencia del 3 de diciembre para considerar el acuerdo para la aprobación final, según una orden del viernes.
- «Si bien negamos las acusaciones en estas demandas de que fuimos responsables de estos actos penales, hemos acordado este acuerdo para evitar el gasto y la incertidumbre de los litigios prolongados», dijo un portavoz de AT&T en un correo electrónico.
Dive Insight:
La acción de clase consolidada destaca una creciente preocupación para los líderes empresariales: la escalada constante de las amenazas de ciberseguridad y los costos de violación de datos.
El centro de quejas por delitos en Internet del FBI recibió 859,532 quejas de presuntos delitos de Internet en 2024, con pérdidas reportadas superiores a $ 16 mil millones, un aumento del 33% con respecto al año anterior, según un informe publicado en abril.
«La ciberseguridad no es solo un problema de TI o un escenario de crisis de un libro de jugadas, sino una preocupación comercial persistente y creciente con las implicaciones financieras reales, incluidos los costos potenciales de la respuesta a los incidentes, los pasivos legales, el daño reputacional y la pérdida de ingresos por la falta de confianza del consumidor», escribieron los consultores de seguridad cibernética y jóvenes Tunde Lawson y Jaime Kipnes en un artículo de abril en el tema.
Mitigación de riesgos cibernéticos e incorporándolos a la estrategia financiera a largo plazo de la organización es una misión compartida por varias personas en el C-suite, incluido el CFO, que está «en posición única para cuantificar estos riesgos y estimar el costo de un incidente», dijeron los autores.
Trabajando en concierto con el Director de Seguridad de la Información, el CFO puede «comprender mejor la probabilidad y la exposición al riesgo, establecer métricas en el gasto y ROI, y comunicar recomendaciones para priorizar el gasto de ciberseguridad», escribieron.
AT&T se encuentra entre las compañías que informaron algunos de los ataques cibernéticos más grandes el año pasado, según una cuenta de Cyber Management Alliance, una firma de consultoría con sede en el Reino Unido.
El acuerdo propuesto por AT&T incluye $ 149 millones para resolver un conjunto de reclamos de acción de clase relacionada con una violación de la compañía revelada en marzo de 2024. Los $ 28 millones restantes son para miembros de la clase afectados por una violación de datos de AT&T separada divulgada en julio de 2024.
«Los demandantes y los miembros de la clase fueron víctimas previsibles de las prácticas inadecuadas de seguridad de datos de AT&T, y también era previsible que el fracaso de AT&T no proporcionara un aviso oportuno y adecuado de las infracciones de datos dando como resultado lesiones a los demandantes y los miembros de la clase como se describe en esta queja», según una queja de acción de clase consolidada presentada el mes pasado.
En su aviso público sobre la primera violación, el gigante de las telecomunicaciones dijo que determinó que los «campos específicos de datos» de la compañía estaban contenidos en un conjunto de datos publicado en la «Web Dark». El incidente se vio afectado por el incidente de hasta 73 millones de clientes actuales y anteriores, según el aviso.
Los datos comprometidos variaron según el cliente y la cuenta, pero pueden haber incluido nombres completos, direcciones de correo electrónico, direcciones de correo, números de teléfono, números de seguro social, fechas de nacimiento y números de cuenta de AT&T y códigos de acceso, según un conjunto de preguntas frecuentes publicadas por la compañía en ese momento.
El incidente provocó una ráfaga de demandas de acción de clase. En junio de 2024, el Panel Judicial sobre Litigios de Múltiples Distrito emitió una orden que consolidó los casos en el Tribunal de Distrito de los Estados Unidos para el Distrito Norte de Texas.
Luego, la compañía enfrentó una nueva ola de demandas después de revelar la segunda violación de datos. Ese incidente comprometió los registros de mensajes de llamada y mensajes de texto de seis meses de «casi todos» el cliente de la red celular AT&T en 2022, según una presentación de valores.
