La startup más valiosa a nivel internacional, que cuenta con una estimación superior a los 50.000 millones de dólares, ha pedido la dimisión de Joe Sullivan, máximo responsable de seguridad de Uber, por haber mantenido oculto el robo de datos que afectó a 57 millones de conductores y usuarios por todo el mundo
Entre los datos a los que pudieron acceder los cibercriminales, se encuentran las matrículas de algunos conductores y los datos personales como nombres o números de teléfono. Sin embargo, la compañía asegura que no se vieron comprometidos los números de seguridad social, el equivalente al número de identificación en España.
"Esto no tendría que haber ocurrido. No hay excusas"
Los hackers, cuya identidad se ha negado a desvelar Uber, obtuvieron 100.000 dólares (85.000 euros) por parte de la compañía para deshacerse de los datos robados y no hacer público el hackeo.
El cambio de liderazgo en la compañía ha sido fundamental para desvelar este hecho. Dara Khosrowshahi ha señalado que “esto no tendría que haber ocurrido. No hay excusas. Estamos cambiando nuestra forma de trabajar”. Además, el directivo ha reconocido que deberían haber alertado a las autoridades en lugar de ocultar el robo.
Tras darse a conocer este hackeo, el Fiscal General de Nueva York, Eric Schneiderman, ha iniciado una investigación sobre el ataque, según su portavoz, Amy Spitalnick. La compañía también ha sido demandada por negligencia por un cliente que buscaba una acción colectiva.
Khosrowshahi, el limpia pecados de Kalanick
Según fuentes de la compañía, el ex dirigente y cofundador de Uber, Travis Kalanick, conoció el hackeo en noviembre de 2016, un mes después de que ocurriera. En ese momento, Uber acababa de llegar a un acuerdo con el fiscal general de Nueva York sobre las divulgaciones de seguridad de datos y se encontraba en proceso de negociar con la Comisión Federal de Comercio en relación con el manejo de los datos de sus clientes. El propio Kalanick se ha negado a hacer comentarios al respecto.
Joe Sullivan, el ya ex director de seguridad de Uber, fue el responsable de ocultar la información sobre el hackeo, según ha podido confirmar un portavoz de la compañía. Sullivan fue fiscal federal y se incorporó a Uber en 2015 tras su paso por Facebook. Según ha podido conocer Autoconectado.es, una investigación externa realizada por un bufete de abogados sobre las actividades del equipo de seguridad de Sullivan habría desvelado la información del hackeo.
Así fue el hackeo de datos de 57 millones de conductores y usuarios de Uber
Según ha informado el propio Khosrowshahi, el hackeo ha afectado a alrededor de 600.000 conductores de Estados Unidos y 57 millones de usuarios de Uber a nivel internacional.
Dos cibercriminales accedieron a un sitio privado de GitHub que los ingenieros de la compañía utilizan para programación, y tras ese ataque utilizaron las credenciales de acceso que obtuvieron en el primer hackeo para acceder a los datos almacenados en una cuenta de Amazon Web Services, donde Uber aloja sus datos.
Una vez dentro de los servidores, los ciberdelincuentes descubrieron un archivo con información de conductores y usuarios. Tras ello, se pusieron en contacto con la compañía por correo electrónico solicitando una suma de dinero.
"En el momento del incidente, tomamos medidas de manera inmediata para proteger los datos y cerrar el acceso no autorizado a las personas"
El problema del asunto no se encuentra en el hackeo en sí, que también, sino en que la compañía está obligada a informar de las infracciones de datos delicados, según regulan un gran número de leyes estatales y federales en Estados Unidos, y la compañía no lo hizo.
“En el momento del incidente, tomamos medidas de manera inmediata para proteger los datos y cerrar el acceso no autorizado a las personas”, ha defendido Khosrowshahi. “También implementamos medidas de seguridad para restringir el acceso y fortalecer en nuestras cuentas de almacenamiento en la nube”.
Los reguladores del Reino Unido, incluida la National Crime Agency, también están investigando la magnitud de la infracción.
Consecuencias y respuesta de Uber
Tras descubrir lo ocurrido, Khosrowshahi ha pedido la dimisión de Sullivan y ha despedido a Craig Clark, un abogado de alto nivel que reportaba directamente a Sullivan.
El CEO de Uber se ha disculpado en nombre de la compañía y ha señalado que “si bien no puedo borrar el pasado, puedo comprometerme en nombre de cada empleado de Uber que aprenderemos de nuestros errores”.
"Estamos cambiando la forma en que hacemos negocios, poniendo la integridad en el centro de cada decisión que tomamos y trabajando duro para ganar la confianza de nuestros clientes"
El directivo ha informado de la contratación de Matt Olsen, antiguo asesor general de la Agencia de Seguridad Nacional de Estados Unidos y director del Centro Nacional de Contraterrorismo, para que “me ayude a pensar cuál es la mejor manera de guiar y estructurar nuestros equipos de seguridad y procesos”.
Además, se ha comprometido a informar a los conductores afectados, a informar a las autoridades y a monitorear el incidente.
“Estamos cambiando la forma en que hacemos negocios, poniendo la integridad en el centro de cada decisión que tomamos y trabajando duro para ganar la confianza de nuestros clientes”, ha concluido Khosrowshahi.
Las firmas de ciberseguridad advierten de las consecuencias
Según David Emm, analista principal de seguridad de Kaspersky Lab, “las consecuencias derivadas de la brecha de datos a gran escala de Uber ponen de relieve la importancia y la necesidad de transparencia y responsabilidad en las empresas”.
En los últimos años han salido a la luz numerosos casos de empresas que han sufrido brechas de seguridad y, según el analista, “este retraso en la comunicación es de poca ayuda para los clientes afectados, poniendo de manifiesto la necesidad de establecer una normativa”.
"Uber está estableciendo un peligroso precedente que incentiva aún más a los ciberdelincuentes"
En esta línea, destaca la importancia del GDPR (Reglamento General de Protección de Datos) que entra en vigor en mayo de 2018, para que “motive a las empresas a que, en primer lugar, tomen medidas para proteger los datos de los clientes, y en segundo lugar, a que notifiquen a la ICO (Oficina del Comisionado de Información) las infracciones en un tiempo adecuado”.
Por otro lado, desde Kaspersky alertan que “al pagar dinero a los ciberdelincuentes, Uber está estableciendo un peligroso precedente que incentiva aún más a los ciberdelincuentes. Con el GDPR las multas aumentarán hasta el 4% de la facturación anual y es posible que veamos más casos de ciberdelincuentes chantajeando a las empresas si el pago solicitado es considerablemente menor que la multa a la que tendrían que enfrentarse si reportan el incidente”.
"No notificar a los consumidores los expone a un mayor riesgo de ser víctimas de fraude"
Por su parte, Ricardo Maté, director general de Sophos Iberia, advierte que "Uber no es la única ni será la última compañía en ocultar una filtración de datos o un ciberataque. No notificar a los consumidores los expone a un mayor riesgo de ser víctimas de fraude. Es por esta razón que muchos países están impulsando una regulación que obligue a las empresas a divulgar las brechas de seguridad".
En esta línea, el directivo invita a los conductores afectados a "comprobar sus cuentas bancarias y mantengan los ojos bien abiertos para no ser víctimas de un robo".
Si (
No(
