Categories: Seguridad

A fondo: La gestión del ataque a Uber, “un peligroso precedente que incentiva aún más a los ciberdelincuentes”

Un año después de que sucediera, Uber ha informado de que fue víctima de una brecha de seguridad que afectó a 57 millones de usuarios. Como consecuencia se vulneraron nombres, direcciones de correo electrónico, números de teléfono móvil y también números de licencia de cientos de miles de conductores. Pero las personas encargadas de dar respuesta a este incidente, que ya no forman parte de la plantilla de Uber, no notificaron ni a los afectados ni a las autoridades reguladoras competentes. Ha sido con el cambio de CEO, tras el nombramiento de Dara Khosrowshahi al frente de la popular empresa de viajes compartidos por carretera, cuando el caso ha salido a la luz. Lo ha revelado el propio Khosrowshahi que, consciente de que es imposible “borrar el pasado”, se ha comprometido a cambiar “la forma en que hacemos negocios, poniendo la integridad en el centro de cada decisión”.

Uno de los puntos más espinosos del asunto es que, según se ha sabido, Uber habría pagado 100.000 dólares a los hackers que protagonizaron el acceso no autorizado a los datos “con el fin de ocultar este ciberataque”. Así lo destaca por ejemplo la firma de seguridad Trend Micro cuyo vicepresidente de investigación, Rik Ferguson, dice que “no hay duda de que el antiguo equipo de administración y seguridad de Uber no asumió la responsabilidad con sus conductores, con los reguladores, con la justicia y, sobre todo, con sus clientes, y esto es una lista demasiado larga”. Ferguson opina que, “aunque algunos de los responsables pueden haber sido silenciados por sus atacantes, el robo digital no funciona de la misma manera que en el mundo físico, pues nunca se pueden ‘volver a recomprar los negativos’ una vez que los datos han sido robados”.

Por su parte David Emm, analista principal de seguridad de Kaspersky Lab, explica que, “al pagar dinero a los ciberdelincuentes Uber está estableciendo un peligroso precedente que incentiva aún más a los ciberdelincuentes”. Y recuerda que “con el GDPR”, el nuevo reglamento sobre protección de datos de la Unión Europea que comenzará a aplicarse en mayo de 2018, “las multas aumentarán hasta el 4 % de la facturación anual”, por lo que “es posible que veamos más casos de ciberdelincuentes chantajeando a las empresas si el pago solicitado es considerablemente menor que la multa a la que tendrían que enfrentarse si reportan el incidente”.

“Las consecuencias derivadas de la brecha de datos a gran escala de Uber ponen de relieve la importancia y la necesidad de transparencia y responsabilidad en las empresas”, declara Emm. “En los últimos años, se han conocido varias brechas de seguridad en empresas con posterioridad al incidente, y este retraso en la comunicación es de poca ayuda para los clientes afectados, poniendo de manifiesto la necesidad de establecer una normativa”, subraya este experto. Desde Kaspersky Lab esperan que el GDPR traiga un cambio positivo y “motive a las empresas a que, en primer lugar, tomen medidas para proteger los datos de los clientes, y en segundo lugar, a que notifiquen a la ICO (Oficina del Comisionado de Información) las infracciones en un tiempo adecuado”. Esto es importante porque “los usuarios que confíen información privada a empresas deben estar seguros de que se van a guardar de forma segura”. Y, si hay una brecha, “recuperar y reconstruir la confianza” será un “proceso largo en el tiempo”.

Sobre cómo ocurrió la vulnerabilidad sufrida por Uber, la propia compañía ha explicado que se produjo a través de un servicio cloud de terceros, sin afectar a infraestructura y sistemas corporativos propios. En este sentido, Trend Micro aprecia que si bien “es alentador” que el “nuevo equipo de gestión aclare la brecha y quiera ser transparente”, no lo es tanto que se separe “la ‘infraestructura y sistemas corporativos’ de Uber del ‘servicio de terceros basado en la nube’ que fue el objetivo de la brecha. Quizás, esto es un indicativo de la raíz del problema”, aventura Rik Ferguson. “Los servicios cloud adoptados por una empresa *SON* sistemas corporativos e infraestructura y desde la perspectiva de la seguridad deben ser tratados como tales”, apunta. “Está claro que la responsabilidad nunca se puede subcontratar”.

Mónica Tilves

Licenciada en Xornalismo por la Universidad de Santiago de Compostela en la especialidad de Periodismo Electrónico y Multimedia. Apasionada de los gadgets, la fotografía digital, el diseño web y el arte. Tras un primer contacto con el mundo de la prensa escrita y con la suficiencia investigadora debajo del brazo, me decanto por los medios online. Cubro la actualidad informativa en Silicon Week desde 2011, además de colaborar en otras publicaciones del grupo NetMediaEurope en España como Silicon News. Ahora en Silicon.es.

Recent Posts

Los mensajes RCS, otra vía de acceso para ciberataques

Los mensajes RCS ofrecen muchas más posibilidades que los SMS, pero también abren la puerta…

21 horas ago

Telefónica Empresas ayudará a Microsoft a expandir los Copilot+ PC por España

Acompañará a las empresas en sus procesos de equipamiento, desde la elección del hardware hasta…

2 días ago

IBM y Esade promueven el uso de la IA en los Consejos de Administración

Juntos, trabajarán en la formación y la actualización de habilidades para que los consejeros impulsen…

2 días ago

ASUS lanza un Mini PC con inteligencia artificial

Este dispositivo incluye entre sus especificaciones procesador Intel Core Ultra (Serie 2) y botón Copilot.

2 días ago

EasyVisa adquiere una participación mayoritaria en OTRS Group

Ya cuenta en su poder con más del 90 % de las acciones del proveedor…

2 días ago

SoftwareOne y Crayon acuerdan fusionarse

Los actuales consejeros delegados, Raphael Erb y Melissa Mulholland, se convertirán en co-CEOs de la…

2 días ago