El que fuera máximo responsable de seguridad de Uber, ha sido acusado por encubrir el pago a un grupo de ciberdelincuentes para eliminar los datos que habían robado de 57 millones de usuarios y conductores.
Un juez de San Francisco, en California, ha declarado culpable al exjefe de seguridad de Uber, Joe Sullivan, por ocultar a las autoridades el pago de un rescate a unos ciberdelincuentes que accedieron a los sistemas de la compañía en 2016.
Según la sentencia, el responsable debería haber informado de lo ocurrido a la Comisión del Mercado de Valores de los Estados Unidos, la FTC (Federal Trade Comissión), lo que supone un delito grave contra las autoridades.
De confirmarse, podría suponer una pena de cárcel de hasta 8 años, lo que sería una de las primeras sentencias de este tipo contra el jefe de seguridad de una compañía.
Las bases de datos de Uber, al descubierto
Todo se remonta a noviembre de 2017 cuando el nuevo consejero delegado de Uber, Dara Khonsrowshahi, confirmó que habían sufrido una filtración de datos un año antes. Una violación que afectó a los datos personales de 57 millones de usuarios y conductores de la compañía en todo el mundo.
Con el compromiso de ser más transparentes y de “reparar errores pasados”, apuntó que el ciberataque fue obra de dos personas ajenas a la empresa que accedieron a las bases de datos de Uber y descargaron toda la información.
Nombres, direcciones de correo electrónico y números de teléfono de usuarios, así como números del carné de conducir de sus empleados se encontraban entre la información robada.
Sin embargo, en aquel momento, Uber no informó a las autoridades permanentes y pagó a los delincuentes 100.000 dólares en bitcoins para que eliminaran todos los datos que habían robado y se mantuvieran en silencia.
Un pago que se produjo después de que unas credenciales de Uber para Amazon Web Services aparecieran publicadas en un repositorio de GitHub.
A raíz de este suceso, Joe Sullivan, máximo responsable de seguridad de la compañía en aquel momento y que había entrado a formar parte de ella un año antes del ataque, fue despedido.
Uber tuvo que pagar multas por no haber comunicado este suceso que ascendieron a 148 millones de dólares. Ahora, será su exjefe de seguridad el que deberá pagar por no obrar de acuerdo a lo establecido por las leyes.
Sin duda, si Sullivan debe afrontar la pena de cárcel, estaremos asistiendo a un cambio de paradigma en el sector y pondrá en evidencia el papel de estos responsables de seguridad en las organizaciones.