MSIT Conclui Investigação: Falha na Gestão de Femtocells Foi a Causa da Violação de Segurança na KT

Na segunda-feira, 29 de dezembro de 2025, o Ministério da Ciência e TIC (MSIT) divulgou oficialmente os resultados finais de sua apuração minuciosa sobre o incidente de segurança ocorrido na KT Corp. A investigação abrangente apontou que a vulnerabilidade central residia na supervisão inadequada e nos protocolos de gestão da operadora móvel em relação à sua infraestrutura de femtocells. Essas estações rádio base compactas, instaladas para otimizar a cobertura de rede em áreas localizadas, foram negligenciadas sistematicamente. Tal desleixo criou um ambiente propício para a inserção de femtocells ilícitas, que conseguiram, subsequentemente, penetrar na arquitetura da rede interna proprietária da KT sem autorização.

Esta falha de segurança teve duas ramificações principais e graves. Primeiramente, facilitou a concretização de transações de pagamento móvel não autorizadas. Em segundo lugar, provocou uma exposição massiva de dados confidenciais dos clientes. O prejuízo financeiro direto envolveu micropagamentos indevidos somando 243 milhões de wons, o equivalente a cerca de 167.000 dólares americanos, afetando um total de 368 usuários confirmados. Contudo, o alcance do comprometimento de dados foi consideravelmente maior, atingindo 22.227 indivíduos. Informações pessoais cruciais, como números de celular, Identidades Internacionais de Assinante Móvel (IMSI) e Identidades Internacionais de Equipamento Móvel (IMEI), foram exfiltradas.

A análise forense, conduzida por uma equipe conjunta de investigação governamental e privada, desvendou uma falha crítica no mecanismo de autenticação dos dispositivos. Descobriu-se que todas as femtocells emitidas pela KT compartilhavam um certificado digital idêntico, fornecido pelo fabricante, e este certificado possuía uma validade estendida de até dez anos. Essa configuração permitia que, uma vez que um invasor conseguisse replicar esse único certificado, o acesso não autorizado à rede pudesse ser mantido por quase uma década. Adicionalmente, a investigação revelou uma presença significativa de malware interno: 94 servidores da KT estavam infectados com 103 tipos distintos de códigos maliciosos, incluindo BPFDoor e Rootkit, com algumas infecções datando de abril de 2022.

O MSIT concluiu, de forma inequívoca, que a KT falhou em cumprir seu dever contratual de prestar serviços seguros, expondo todos os assinantes a um risco potencial. Este episódio se insere em um contexto de escrutínio setorial, visto que a concorrente da KT, a SK Telecom, já havia sido multada em 134,8 bilhões de wons por uma violação de dados anterior. O Ministério impôs à KT a obrigação de implementar imediatamente melhorias rigorosas de segurança. Isso inclui a rotação periódica do endereço IP do servidor de autenticação e o estabelecimento de sistemas robustos para detectar conexões de femtocells não autorizadas. A KT deve apresentar um plano de remediação detalhado em um prazo máximo de um mês, com uma inspeção governamental de acompanhamento agendada para junho de 2026 para verificar o cumprimento das novas diretrizes.

Devido à gravidade das falhas de segurança demonstradas, o MSIT sinalizou que as operadoras móveis em geral poderão em breve receber ordens para isentar os usuários de taxas de cancelamento caso decidam migrar para empresas concorrentes. Em um desdobramento paralelo, autoridades policiais relataram a prisão de dois cidadãos chineses em conexão com a fraude financeira associada ao caso. Em outra frente de investigação, o MSIT informou um resultado obstruído em seu inquérito separado sobre uma violação de dados na LG Uplus Corp., inicialmente noticiada em julho de 2025. O ministério alegou que a LG Uplus agiu de má-fé ao apresentar documentação falsificada e reinstalar sistemas operacionais em servidores afetados após receber orientações da Agência Coreana de Internet e Segurança (KISA), ações que dificultaram severamente uma análise forense completa.

Embora a fuga de informações da solução de gestão de senhas integrada da LG Uplus, a APPM, tenha sido confirmada, a obstrução levou o MSIT a solicitar formalmente uma investigação policial contra a LG Uplus sob suspeita de obstrução de deveres oficiais. Servidores cruciais na rota da rede foram reinstalados ou descartados entre 12 de agosto e 15 de setembro, após a orientação de intrusão emitida pela KISA em 19 de julho. O Ministro da Ciência, Bae Kyung-hoon, ressaltou a seriedade da situação, enfatizando que a segurança da informação é um pré-requisito fundamental para a sustentabilidade corporativa e para a manutenção de um ecossistema de serviços confiável para a nação. As ações regulatórias em curso sinalizam um compromisso elevado do governo sul-coreano em exigir responsabilidade na segurança de infraestruturas críticas.