Uber, la grave ocultación del ciberataque y la enésima perdida de confianza

Uber, la grave ocultación del ciberataque y la enésima perdida de confianza

2 comentarios Facebook Twitter Flipboard E-mail
Uber, la grave ocultación del ciberataque y la enésima perdida de confianza

En la actualidad tecnológica de hoy resuena con fuerza el ciberataque sufrido por Uber hace algo más de un año y su ocultación. En octubre de 2016, la plataforma fue atacada por un grupo de hackers que robaron los datos personales de 57 millones de clientes y conductores. La información sustraída, según Bloomberg, incluía nombres, direcciones de correo electrónico, números de teléfono y, en el caso de chóferes estadounidenses, números de licencia de conducir.

Desglosando, se vieron afectados un total de 50 millones de usuarios y 7 millones de trabajadores. Números de tarjetas bancarias, detalles de viajes, números de seguros sociales y otros datos, asegura la compañía, no fueron comprometidos. Sin embargo, paradójicamente, este no es el principal problema.

"Nada de esto debería haber pasado"

Un ataque que podría haber quedado empequeñecido en comparación con otros como los sufridos por Yahoo! o MySpace tiempo atrás, ha saltado a primera línea encendido todas las alarmas por su ocultación con el pago de 100.000 dólares estadounidenses a los atacantes. "Nada de esto debería haber pasado", ha dicho Dara Khosrowshahi, el actual CEO de Uber; pero ha pasado.

Un vistazo a…
Cómo mejorar la SEGURIDAD EN INTERNET: VPN, DNS y páginas con HTTPS

Debían comunicar el ataque y no lo hicieron

Cuando sucedió todo, aquel mencionado octubre de 2016, la compañía tecnológica se encontraba inmersa en negociaciones con los reguladores de Estados Unidos sobre diferentes reclamos en cuestiones de violación de privacidad. Era un momento delicado y los entonces responsables, en primer término el jefe de seguridad, Joe Sullivan, decidieron ocultarlo yendo en contra de la confianza de los usuarios y conductores.

Para más inri, según la propia compañía, tenían "la obligación legal" de comunicar el hackeo a las agencias gubernamentales y a las personas afectadas. No lo hicieron.

El ataque pasó por varias fases. Los ciberdelincuentes lograron acceder, en primer lugar, a un sitio privado de codificación de GitHub empleado por ingenieros de software de la compañía. De allí tomaron sus credenciales de acceso y con ellas penetraron a una cuenta de Amazon Web Services perteneciente a Uber. En ella, finalmente, encontraron un archivo que contenía toda la información sustraída.

El último paso fue, tiempo después y según la empresa, enviarles un correo electrónico pidiendo dinero. Un rescate, a la postre.

Hacker 1944688 1280
Pagaron a los atacantes para que ocultasen la brecha de seguridad y borrasen los datos sustraídos

"En el momento del incidente, tomamos medidas inmediatas para asegurar los datos y cerrar el acceso no autorizado de las personas, ha afirmado Khosrowshahi. Al mismo tiempo, asegura, implementaron medidas de seguridad con el fin de restringir el acceso y reforzar los controles en sus cuentas de almacenamiento en la nube. Bien. Pero también pagaron a los ciberatacantes.

A los bolsillos de estos sujetos, cuya identidad no se ha revelado, fueron a parar 100.000 dólares estadounidenses. ¿El propósito? Que borraran los datos obtenidos ilícitamente y mantuvieran en secreto la brecha. Un peligroso precedente que, de paso, financió a criminales de la red.

El secreto se mantuvo, de eso no hay duda. Porque si se ha revelado este asunto ha sido gracias a una investigación externa llevada a cabo por un bufete de abogados que analizó las actividades del equipo de seguridad comandado por Sullivan, que ha sido despedido. Un grave hecho que y está en investigación por parte de la oficina del fiscal general de Nueva York.

Sobre el borrado efectivo de esos datos por parte de los hackers nada se sabe. ¿Verdaderamente lo hicieron?

Una más de Uber

Travis Kalanick, el predecesor de Khosrowshahi, quien tomó el cargo el pasado septiembre, supo del masivo robo de datos en noviembre de ese 2016, solamente un mes después. ¿Sucedió algo? No, que sepamos. Kalanick se negó a comentar nada tras ser preguntado por los medios, pero la reputación de Uber continúa cayendo escándalo tras escándalo.

"Estamos cambiando la forma en que hacemos negocios, colocando la integridad en el centro de cada decisión que tomamos y trabajando duro para ganar la confianza de nuestros clientes", asegura el actual máximo responsable

El tardío ejercicio de transparencia es un paso, sí, aunque sea más o menos obligatorio si quieren respetar las leyes del país desde el que operan. Pero no parece sufuciente.

Travel 2724330 1280
¿Algún día podrá Uber recuperar completamente su credibilidad y la confianza de los usuarios?

Al manejo de esta brecha le preceden numerosas polémicas y acusaciones. Kalanick enfrentó en su momento sonoras críticas por su gestión al frente de la compañía y sus prácticas en torno a los trabajadores. En marzo supimos de la existencia de Greyball, un programa secreto mediante el cual sus usuarios eran espiados y se intentaba eludir actuaciones gubernamentales de control.

Durante los días posteriores a la aprobación del decreto migratorio de Trump, Uber fue acusada de apoyarlo y surgió una campaña para dejar de emplear el servicio. Sumamos a la lista todavía más problemas con la relación que tiene con sus trabajadores; el más reciente en Londres, estando obligada a tratarlos como asalariados. Así como las acusaciones de abusos y sexismos denunciados por extrabajadoras, la denuncia de uno de sus primeros inversionistas por posible fraude o el padecimiento de otras brechas de seguridad.

Uber lo tendrá difícil, muy difícil, para recuperar la confianza. Aunque su valor continúe en lo más alto.

En Xataka | Uber pagó 100.000 dólares para ocultar un hackeo que expuso la información de 57 millones de sus usuarios

Comentarios cerrados
Inicio