19 de enero de 2023. Bellevue, Washington. Informamos a los clientes afectados que, tras una exhaustiva investigación, hemos podido determinar que un elemento delictivo utilizó una interfaz de programación de aplicaciones (o API) para obtener una porción limitada de ciertos tipos de información de sus cuentas.
Tan pronto como nuestros equipos identificaron dicha actividad, lo corregimos en menos de 24 horas. Nuestros sistemas y políticas de seguridad impidieron el acceso a las categorías de información más confidencial del cliente; como resultado, las cuentas de los clientes y su información financiera no se vieron puestas en riesgo directamente durante el incidente. Tampoco hay evidencia de que el elemento delictivo haya vulnerado o comprometido la red ni los sistemas de T‑Mobile.
Si bien no se obtuvo información de los clientes afectados que pudiera comprometer la seguridad de sus cuentas o su información financiera, deseamos adoptar una postura transparente ante nuestros clientes y asegurarnos de que estén al tanto de los hechos.
No se vieron comprometidos datos de contraseñas, información de tarjetas de pago, números de seguro social, números de identidad gubernamentales ni otra información de cuentas financieras. La información obtenida se limita a datos básicos de clientes (la gran mayoría de estos datos está disponible en las bases de datos o directorios de mercadeo), incluidos nombre, dirección de facturación, dirección de correo electrónico, número de teléfono, fecha de nacimiento, número de cuenta e información tal como número de líneas en la cuenta y funciones de los planes de servicio.
Entendemos que un incidente de esta magnitud afecta a nuestros clientes y lamentamos mucho lo ocurrido. Si bien T‑Mobile, al igual que cualquier otra empresa, lamentablemente no está exenta de este tipo de actividades delictivas, planeamos continuar realizando inversiones sustanciales plurianuales, para fortalecer nuestro programa de ciberseguridad.
DECLARACIONES A FUTURO
Esta comunicación incluye declaraciones a futuro, dentro del marco establecido por la Ley de reforma de la litigación sobre valores (Private Securities Litigation Reform Act) de 1995. Todas las declaraciones que no sean declaraciones de hechos históricos se consideran declaraciones a futuro. Estas declaraciones a futuro generalmente se identifican mediante las palabras “anticipar”, “creer”, “estimar”, “suponer”, “pretender”, “puede”, “podría” o expresiones similares. Las declaraciones a futuro se basan en expectativas y suposiciones actuales, que están sujetas a riesgos e incertidumbres, y pueden ocasionar que los resultados reales difieran considerablemente de dichas declaraciones a futuro. En particular, nuestra investigación preliminar de este incidente de ciberseguridad, la cual aún continúa, podría exponer hechos adicionales desconocidos en el presente, los cuales podrían llevarnos a reconsiderar la incidencia y alcance del incidente en cuestión en relación con nuestros clientes y con las actividades y operaciones de nuestra empresa. Asimismo, nuestra capacidad de evaluar y remediar por completo el incidente de ciberseguridad, así como los riesgos legales, financieros y de reputación como consecuencia de este y otros incidentes cibernéticos, también podrían ocasionar resultados considerablemente diferentes de las declaraciones a futuro expresadas precedentemente. Otros factores importantes que podrían afectar los resultados futuros y hacer que los mismos difirieran considerablemente de los expresados en las declaraciones a futuro incluyen, entre otros, los siguientes: desastres naturales, crisis de salud pública, incluida la incidencia negativa causada por la pandemia del COVID-19; competencia, consolidación industrial y cambios en el mercado de servicios de telefonía móvil; alteración, pérdida de datos o demás violaciones de seguridad, como el ciberataque delictivo del cual entramos en conocimiento en agosto de 2021, incluidos los riesgos relativos al incidente de ciberseguridad mencionado anteriormente; nuestra imposibilidad de aprovechar los desarrollos tecnológicos a tiempo; nuestra imposibilidad de retener o motivar al personal clave, contratar a personal calificado o mantener nuestra cultura corporativa; fallos de sistemas y perturbaciones empresariales que pudieran permitir el uso no autorizado o la interferencia en nuestra red y nuestros sistemas; la escasez y costo de espectros móviles adicionales, y las reglamentaciones relativas al uso del espectro; la influencia de las medidas que hemos tomado y de las condiciones que acordamos en relación con los procedimientos y aprobaciones reglamentarios de las Transacciones (conforme se definen más adelante), incluso la adquisición por parte de DISH Network Corporation (o DISH) del negocio de servicio pospagado móvil bajo las marcas Boost Mobile y Sprint (excepto los clientes de Lifeline de la marca Assurance y los clientes del servicio pospagado móvil de Shentel and Swiftel Communications, Inc.), lo que incluye cuentas de los clientes, inventario, contratos, propiedad intelectual y otros recursos determinados específicos (el “Negocio de servicio prepagado”), y la suposición de ciertas responsabilidades relacionadas (en conjunto, la “Transacción de servicio prepagado”), el reclamo y la sentencia definitiva propuesta (la “Sentencia acordada”) aceptada por nuestra parte, Deutsche Telekom AG (“DT”), Sprint Corporation, conocida ahora como Sprint LLC (“Sprint”), SoftBank Group Corp. (“SoftBank”) y DISH ante el Tribunal de Distrito de EE. UU. para el Distrito de Columbia, aprobada por el Tribunal el 1.° de abril de 2020; los compromisos propuestos interpuestos ante la Secretaría de la Comisión Federal de Comunicaciones (o FCC) que anunciáramos el 20 de mayo de 2019, ciertos compromisos y obligaciones en materia de seguridad nacional, y todo otro compromiso u obligación celebrado, incluyendo, entre otros, los celebrados con ciertos Estados y organizaciones no gubernamentales (en conjunto, los “Compromisos gubernamentales”) y los desafíos en materia de cumplimiento con los Compromisos gubernamentales dentro del marco de tiempo exigido y los considerables costos acumulativos en los que se incurrieran para rastrear y dar seguimiento al cumplimiento; condiciones adversas económicas, políticas o de mercado en EE. UU. y en los mercados internacionales, incluso las provocadas por la pandemia del COVID-19; nuestra imposibilidad de gestionar los acuerdos de servicios comerciales y de transición en progreso celebrados en relación con la Transacción de servicios prepagados, y las responsabilidades, conocidas o no, que surgieran en conexión con ello; el tiempo y efectos de cualquier futura adquisición, disposición, inversión o fusión en la que participáramos; toda alteración o falla de terceros (incluidos los proveedores principales) en suministrar productos o servicios para las operaciones de nuestro negocio; nuestro considerable nivel de endeudamiento y nuestra imposibilidad de cumplir con nuestras obligaciones de deudas de conformidad con sus términos o para cumplir con los convenios restrictivos en ellos incluidos; cambios en las condiciones crediticias del mercado, descenso en la calificación crediticia o la imposibilidad de acceder a los mercados de deuda; convenios restrictivos, incluidos los acuerdos que rigen nuestra deuda y demás asuntos financieros; el riesgo de deficiencias sustanciales que pudiéramos identificar mientras continuamos intentando integrar las dos empresas luego de las Transacciones, o cualquier otra falla de nuestra parte de mantener controles internos eficientes, y los consecuentes costos y daños considerables a nuestra reputación; cualquier cambio en las reglamentaciones o en el marco regulatorio bajo el cual operamos; leyes y reglamentaciones relacionadas con la gestión de la privacidad y la protección de datos; resultados desfavorables y aumento de costos provenientes de procedimientos legales actuales o futuros, incluidos los presentes, y las investigaciones sobre el ciberataque delictivo del que tomamos conocimiento en agosto de 2021; la posibilidad de que podríamos vernos impedidos de proteger adecuadamente nuestros derechos de propiedad intelectual o ser acusados de violar los derechos de propiedad intelectual de terceros; nuestra oferta de servicios y productos financieros regulados y la exposición a una amplia variedad de regulaciones estatales y federales; leyes o reglamentaciones fiscales nuevas o enmendadas, o interpretaciones administrativas y decisiones judiciales que afecten el ámbito o aplicación de las leyes o reglamentaciones fiscales; nuestra exclusiva disposición de fuero en virtud de nuestro Certificado de constitución; los intereses de nuestros accionistas principales, que podrían diferir de los de otros accionistas; ventas futuras de nuestras acciones ordinarias por parte de DT y SoftBank y nuestra imposibilidad de atraer financiamiento mediante capital fuera de Estados Unidos debido a limitaciones de titularidad extranjera por parte de la FCC; nuestro programa de recompra de acciones podría no concretarse en su totalidad, y no favorecer el valor a largo término de las acciones; imposibilidad de concretar los beneficios y sinergias esperados de la fusión con Sprint, en virtud del Acuerdo de combinación empresarial con Sprint y las demás partes mencionadas en el mismo (según enmienda, el “Acuerdo de combinación empresarial”) y las demás transacciones contempladas por el Acuerdo de combinación empresarial (en conjunto, las “Transacciones”) dentro de los marcos de tiempo previstos o según los montos anticipados; toda demora, costos o dificultades para integrar nuestro negocio y el negocio y las operaciones de Sprint, y otros costos operativos imprevistos, pérdida de clientes y alteraciones empresariales, incluidos los desafíos de mantener la relación con los empleados, clientes y proveedores; dificultades no previstas, perturbaciones o demoras considerables en nuestra estrategia de largo alcance para migrar a los clientes existentes de Sprint a las plataformas de facturación actuales de T‑Mobile; y otros riesgos expuestos en nuestro informe anual más reciente en el Formulario 10-K, 10-Q y demás registros presentados ante la Comisión de Valores y Bolsa. En virtud de estos riesgos e incertidumbres, se recomienda a los lectores no basarse indebidamente en dichas declaraciones a futuro. No asumimos ninguna obligación de modificar o divulgar públicamente los resultados de ninguna actualización a dichas declaraciones a futuro, salvo en la medida exigida por la ley.