A fondo: La gestión del ataque a Uber, “un peligroso precedente que incentiva aún más a los ciberdelincuentes”

Un año después de que sucediera, Uber ha informado de que fue víctima de una brecha de seguridad que afectó a 57 millones de usuarios. Como consecuencia se vulneraron nombres, direcciones de correo electrónico, números de teléfono móvil y también números de licencia de cientos de miles de conductores. Pero las personas encargadas de dar respuesta a este incidente, que ya no forman parte de la plantilla de Uber, no notificaron ni a los afectados ni a las autoridades reguladoras competentes. Ha sido con el cambio de CEO, tras el nombramiento de Dara Khosrowshahi al frente de la popular empresa de viajes compartidos por carretera, cuando el caso ha salido a la luz. Lo ha revelado el propio Khosrowshahi que, consciente de que es imposible “borrar el pasado”, se ha comprometido a cambiar “la forma en que hacemos negocios, poniendo la integridad en el centro de cada decisión”.

Uno de los puntos más espinosos del asunto es que, según se ha sabido, Uber habría pagado 100.000 dólares a los hackers que protagonizaron el acceso no autorizado a los datos “con el fin de ocultar este ciberataque”. Así lo destaca por ejemplo la firma de seguridad Trend Micro cuyo vicepresidente de investigación, Rik Ferguson, dice que “no hay duda de que el antiguo equipo de administración y seguridad de Uber no asumió la responsabilidad con sus conductores, con los reguladores, con la justicia y, sobre todo, con sus clientes, y esto es una lista demasiado larga”. Ferguson opina que, “aunque algunos de los responsables pueden haber sido silenciados por sus atacantes, el robo digital no funciona de la misma manera que en el mundo físico, pues nunca se pueden ‘volver a recomprar los negativos’ una vez que los datos han sido robados”.

Por su parte David Emm, analista principal de seguridad de Kaspersky Lab, explica que, “al pagar dinero a los ciberdelincuentes Uber está estableciendo un peligroso precedente que incentiva aún más a los ciberdelincuentes”. Y recuerda que “con el GDPR”, el nuevo reglamento sobre protección de datos de la Unión Europea que comenzará a aplicarse en mayo de 2018, “las multas aumentarán hasta el 4 % de la facturación anual”, por lo que “es posible que veamos más casos de ciberdelincuentes chantajeando a las empresas si el pago solicitado es considerablemente menor que la multa a la que tendrían que enfrentarse si reportan el incidente”.

“Las consecuencias derivadas de la brecha de datos a gran escala de Uber ponen de relieve la importancia y la necesidad de transparencia y responsabilidad en las empresas”, declara Emm. “En los últimos años, se han conocido varias brechas de seguridad en empresas con posterioridad al incidente, y este retraso en la comunicación es de poca ayuda para los clientes afectados, poniendo de manifiesto la necesidad de establecer una normativa”, subraya este experto. Desde Kaspersky Lab esperan que el GDPR traiga un cambio positivo y “motive a las empresas a que, en primer lugar, tomen medidas para proteger los datos de los clientes, y en segundo lugar, a que notifiquen a la ICO (Oficina del Comisionado de Información) las infracciones en un tiempo adecuado”. Esto es importante porque “los usuarios que confíen información privada a empresas deben estar seguros de que se van a guardar de forma segura”. Y, si hay una brecha, “recuperar y reconstruir la confianza” será un “proceso largo en el tiempo”.

Sobre cómo ocurrió la vulnerabilidad sufrida por Uber, la propia compañía ha explicado que se produjo a través de un servicio cloud de terceros, sin afectar a infraestructura y sistemas corporativos propios. En este sentido, Trend Micro aprecia que si bien “es alentador” que el “nuevo equipo de gestión aclare la brecha y quiera ser transparente”, no lo es tanto que se separe “la ‘infraestructura y sistemas corporativos’ de Uber del ‘servicio de terceros basado en la nube’ que fue el objetivo de la brecha. Quizás, esto es un indicativo de la raíz del problema”, aventura Rik Ferguson. “Los servicios cloud adoptados por una empresa *SON* sistemas corporativos e infraestructura y desde la perspectiva de la seguridad deben ser tratados como tales”, apunta. “Está claro que la responsabilidad nunca se puede subcontratar”.