Uber lo acaba de confirmar. Durante un año ha estado ocultando una importante brecha de seguridad que ha afectado a millones de usuarios de su servicio. El medio Bloomberg acaba de informar que los datos personales de más de 57 millones de clientes y conductores de Uber han sido expuestos tras el robo de unos hackers.
Pero esto no ha ocurrido ahora. El robo de estos datos se produjo en octubre de 2016. Y la información ha permanecido en secreto durante todo este año. El problema está, según Bloomberg, en que el hecho ha estado en conocimiento de los responsables de la compañía.
El polémico CEO, Travis Kalanick, ocultó estos datos durante todo el tiempo. Y lo que es peor: sabía perfectamente de la existencia de la brecha de seguridad. Y de la información que los ciberdelincuentes habían conseguido levantarle a la compañía.
¿Y por qué se ha sabido ahora todo esto? Lo cierto es que no nos encontramos ante una campaña de transparencia por parte de Uber. Esta misma semana fue despedido Joe Sullivan, responsable de seguridad de la compañía, junto a uno de sus asesores más cercanos. Y como era de esperar, el secreto ha sido revelado.
Robo y chantaje a Uber
Si bien un ataque nunca es bienvenido, este pilló a Uber en horas bajas. Los piratas se hicieron con el botín y luego reclamaron un rescate de 100.000 dólares. La compañía no dudó en pagarlo. En ese preciso momento, Uber tenía serios problemas con los reguladores estadounidenses.
El objetivo del pago era el de mantener el ataque en privado. E intentar no avivar más el fuego. Un año después hemos sabido que los datos de 57 millones de usuarios y conductores quedaron a merced de los atacantes. Al no ser informados, tampoco tuvieron la posibilidad de protegerse.
Cuando Kalanick se enteró de lo que había ocurrido, delegó la responsabilidad de solventar el problema a Joe Sullivan, el jefe de seguridad que ahora ha sido despedido. Este optó por la vía fácil: pagar y olvidarse del problema. Sin embargo, esta decisión contraviene la normativa estadounidense, que obliga a las empresas a comunicar este tipo de incidentes, si lo que se ha filtrado es información privada o sensible.
Actualmente, la compañía está bajo la dirección de Dara Khosrowshhi, antiguo CEO de Expedia. Desde el principio tenía el ojo puesto en Sullivan. Y no ha tardado en despedirlo. El actual responsable de Uber ha admitido que esto no debería haber sucedido nunca. Dice que a partir de ahora las cosas se harán de otra manera. Prueba de ello es el despido del responsable de haber sucumbido y silenciado el chantaje de los criminales.
Yahoo y otras empresas que han ocultado el robo de datos
Pero Uber no ha sido la única compañía que se ha afanado en ocultar un ataque de tan seria magnitud. Otra compañía en horas bajas, Yahoo, tuvo total conocimiento del robo de 500 millones de cuentas de Yahoo Mail. Y no advirtió a sus clientes del ataque hasta dos años después.
En 2017 ha confirmado que fue víctima de distintos ataques. Y que las cuentas comprometidas pudieron llegar a 3.000 millones. Cifra que se correspondería al volumen de su base de datos de entonces.
Pero estos no serían los únicos. Dropbox reconoció una brecha de seguridad cuatro años después de haber sufrido un importante ataque. Gracias a este, un grupo de cibercriminales pudo acceder a un total de 68 millones de cuentas con total impunidad. Los afectados no fueron advertidos de lo que había ocurrido. De modo que tampoco tuvieron la oportunidad de tomar medidas para protegerse.
La extinta MySpace confirmó en 2016 haber sufrido un ataque en 2013. En un comunicado, MySpace justificó su silencio indicando que no almacenaban datos de cuentas bancarias. Y que por tanto, los riesgos que podían correr los usuarios eran menores.
