Hoy hemos desayunado con una de las noticias más polémicas en el sector de la seguridad de los últimos meses. Y con la que ha estado cayendo, ya es decir. La compañía de transporte Uber, pagó 100.000 dólares a un grupo de ciberdelincuentes que les robaron nada menos que 57 millones de datos personales de sus clientes y conductores, según ha informado Bloomberg. Un hecho que la compañía ha mantenido en secreto más de un año. El grupo de cibercriminales (que no hackers) presumiblemente les extorsionó, y el pago fue la forma que encontró la empresa de zanjar el asunto y que no saliera a la luz. Pero al final, todo sale a la luz, y en el caso de robos y filtraciones de datos, más tarde que temprano. Pero vayamos por partes. Así fueron los hechos: en octubre de 2016, un ciberataque comprometió los datos de 50 millones de clientes de Uber. La información incluía nombres, emails, direcciones y números de teléfono. Además, 7 millones de daros de conductores de la compañía, incluyendo números de licencias. Según la propia Uber, no se han expuesto datos críticos como números de tarjetas de crédito.
El problema añadido, es que en ese período la compañía estaba envuelta en negociaciones con los reguladores estadounidenses que investigaban violaciones de privacidad. Así que no querían más problemas. Al enterarse de la brecha de datos, el reciente CEO de la compañía (había tomado posesión un mes antes), Dara Khosrowshahi, delegó en el director de seguridad el «asunto».
Uber sabe que hizo mal, y ahora lo reconoce. «Sabemos que teníamos obligación legal de informar acerca del ataque (…) nada de esto tendría que haber pasado, y no pondremos excusas». Excusas no, pero de momento se han «cargado» al CSO, Joe Sullivan, supuesto responsable de llevar a cabo el encubrimiento, que ya estaba anteriormente en tela de juicio por sus actuaciones como jefe de seguridad.
¿Consecuencias? Muchas. Para empezar, la pérdida de reputación, algo a lo que Uber se ha ido acostumbrando los últimos años. Pero además, en Estados Unidos las leyes son duras contra este tipo de actuaciones, las compañías tienen obligación de informar de las brechas de seguridad que afecten a datos personales. Lo mismo que ocurre, por cierto, con la nueva GDPR que será de obligado cumplimiento dentro de unos meses. Veremos cuáles son las consecuencias para Uber. Las empresas españolas, ya pueden ir viendo las barbas de su vecino cortar.
