Tecnología

Culpable: exjefe de seguridad de Uber por encubrir filtración masiva de datos

Joe Sullivan ocultó detalles de un hackeo que afectó a más de 57 millones de personas en 2016 para proteger la reputación de la empresa.

jue 06 octubre 2022 10:58 AM

(Fotografía temática de Uber) — La información que fue robada incluía nombres, direcciones de correo electrónico, números telefónicos de los usuarios y de los choferes, así como los números de licencias para conducir de 600,000 conductores. (Mathieu Thomasset/AFP)

Expansión

@expansionmx

Joe Sullivan, exjefe de seguridad de Uber, fue declarado culpable por haber ocultado un ciberataque que afectó la información personal de 57 millones de usuarios y 7 millones de conductores de la plataforma de movilidad, en 2016.

De acuerdo con The New York Times, el jurado condenó a Sullivan por obstruir la justicia al no revelar la infracción a la Comisión Federal de Comercio (FTC, por sus siglas en inglés) y por error de encubrimiento, es decir, ocultar un delito grave a las autoridades.

El problema fue un ataque de ransomware que se originó en la plataforma Github, donde los atacantes encontraron credenciales que les daban acceso al almacenamiento de Uber en Amazon Web Services. Así fue como accedieron a su base de datos y descargaron copias de seguridad.

Posteriormente, los piratas pidieron un rescate de la información a lo cual accedió Uber a través de un pago de 100,000 dólares en Bitcoin, el cual fue registrado como parte del programa Bug Bounty de la empresa.

La información que fue robada incluía nombres, direcciones de correo electrónico, números telefónicos de los usuarios y de los choferes, así como los números de licencias para conducir de 600,000 conductores.

Sullivan encubrió el ataque para proteger Uber

Según la información presentada por las autoridades de Estados Unidos, Sullivan compartió los detalles del ataque, así como del pago del rescate con el entonces CEO de Uber, Travis Kalanick.

De acuerdo con las evidencias de los fiscales reportadas por Bloomberg, Sullivan no reveló la brecha para proteger su reputación, pues cuando entró a la empresa en 2015, supuestamente había mejorado la seguridad de la compañía.

Los abogados de Sullivan mencionaron que sus acciones tuvieron el objetivo de evitar una fuga de datos, además de que logró que los atacantes firmaran acuerdos de confidencialidad prometiendo no filtrar la información.

“El único enfoque de Sullivan, en este incidente y a lo largo de su distinguida carrera, ha sido garantizar la seguridad de los datos de las personas en internet”, dijo el abogado del exejecutivo, David Angeli, al NYT. Sin embargo, por este caso, Sullivan podría enfrentar hasta ocho años de prisión. Sin embargo, es probable que tenga una sanción mucho más corta.

Cabe mencionar que, cuando Dara Khorosrowshahi se asumió como el CEO de Uber, tuvo conocimiento del problema aunque no de su verdadero alcance. A pesar de ello, admitió públicamente la infracción, despidió a Sullivan y pagó 148 millones en litigios civiles hasta resolver el caso en julio de este año.

Asimismo, llegó a un acuerdo con la FTC para establecer un programa de privacidad durante los próximos 20 años, además de reportar cualquier incidente relacionado con “la intrusión no autorizada en la información de los usuarios”, como el que sufrió hace unos meses por parte de Lapsus$.