Trump Mobile confirma que expuso datos personales de sus clientes

El T1 de Trump Mobile finalmente empezó a llegar a manos de quienes lo ordenaron esta semana. El teléfono de $499 que durante meses parecía más una promesa de marketing que un producto real comenzó a enviarse a finales de mayo, después de casi un año de demoras y anuncios que nunca se materializaban. La celebración duró poco.

Trump Mobile confirmó este jueves que estuvo exponiendo los datos personales de sus clientes en internet. Nombres, correos electrónicos, direcciones postales, números celulares e identificadores de pedido quedaron accesibles sin ningún tipo de protección efectiva, según confirmó la empresa al medio especializado TechCrunch.

Chris Walker, vocero de Trump Mobile, explicó que la exposición estuvo vinculada a "una plataforma de terceros que presta soporte a ciertas operaciones de Trump Mobile". No quiso identificar a ese proveedor. Walker aclaró que no hubo brecha directa en la red, los sistemas ni la infraestructura propia de la empresa. También afirmó que no encontraron evidencia de que se hayan filtrado contenidos ni información financiera. Trump Mobile está evaluando si necesita notificar a sus clientes sobre la exposición.

Esa frase de "está evaluando" es, en el lenguaje corporativo de privacidad de datos, una forma de decir que aún no saben qué van a hacer.

La historia comenzó a circular el miércoles. Los populares creadores de contenido Coffeezilla y penguinz0, ambos clientes de Trump Mobile que habían ordenado el T1, contaron en videos publicados en YouTube que un investigador de seguridad independiente los contactó para avisarles que sus datos personales estaban accesibles en línea. El investigador explicó que la información podía obtenerse con una simple petición HTTP POST dirigida a los servidores de Trump Mobile. No era un exploit sofisticado. Era lo que en seguridad informática se llama "fruta baja", la clase de vulnerabilidad que aparece en los primeros capítulos de cualquier curso introductorio al tema.

El investigador intentó alertar a Trump Mobile antes de contactar a los YouTubers. No obtuvo respuesta. Coffeezilla y penguinz0 hicieron sus propios intentos de comunicarse con la empresa. Tampoco recibieron respuesta. La empresa reaccionó solo después de que ambos videos se publicaron y la historia ganó tracción en medios tecnológicos.

Según los identificadores de pedido expuestos, Coffeezilla estimó que el sistema contiene alrededor de 30,000 órdenes totales. Esa cifra contrasta con los 600,000 pedidos que Trump Mobile afirmó haber recibido en declaraciones anteriores. La diferencia podría explicarse parcialmente si el conteo de Trump Mobile incluía suscripciones al servicio de telefonía, pero incluso con ese ajuste, la magnitud de la discrepancia es llamativa.

El T1, mientras tanto, no llega al mercado en las mejores condiciones. Las primeras revisiones del dispositivo lo describen como un teléfono HTC U24 Pro revestido con carcasa dorada, con Truth Social preinstalado, y con una caja que dice "Orgullosamente ensamblado en EE.UU." en lugar del "Fabricado en EE.UU." que se había prometido durante la preventa. Por $499, el mercado ofrece opciones con hardware notablemente más competitivo de Pixel, Samsung o incluso el mismo HTC en su versión sin la capa dorada.

El punto no es que el teléfono sea mediocre. Es que Trump Mobile no opera como empresa tecnológica en ningún sentido sustantivo. Es un producto de licencia: la marca presta su nombre y su estética, y terceros construyen y operan la infraestructura. Ese modelo funciona para fragancias y hoteles. Funciona peor cuando los terceros que manejan la plataforma digital no implementan controles básicos de acceso a datos.

Los datos comprometidos no incluirían números de tarjeta de crédito, según Walker. Pero nombres, correos electrónicos, teléfonos y domicilios son exactamente lo que se necesita para ejecutar campañas de phishing dirigidas, ingeniería social, o simplemente para comercializar la lista en foros del mercado negro. Y la base de clientes de Trump Mobile no es demográficamente aleatoria: son personas que decidieron pagar $499 por un teléfono de marca política, lo que las convierte en un objetivo bastante identificable.

La regulación de brechas de datos en Estados Unidos varía según el estado y el tipo de información comprometida. Algunos estados exigen notificación formal a los afectados en plazos específicos. Walker no aclaró en qué estados se concentra la mayoría de los clientes de Trump Mobile, lo que complica determinar qué obligaciones legales enfrenta la empresa en este momento.

Trump Mobile afirma que está investigando el incidente y que no encontró evidencia de acceso malicioso. Es la misma formulación que usan casi todas las empresas cuando confirman una exposición de datos antes de que aparezca evidencia de lo contrario.

Lo que quedó registrado esta semana es más simple: miles de personas compraron un teléfono dorado y recibieron, sin pedirlo, la incertidumbre de no saber quién más tuvo acceso a su dirección postal.