Este miércoles 5 de octubre de 2022, Joseph Sullivan, exjefe de seguridad de Uber, fue declarado culpable de encubrir un ciberataque en 2016. Este ciberataque afectó a 57 millones de usuarios y 7 millones de conductores en la plataforma.
Una larga historia, que comienza en 2016
En 2017, Bloomberg informó que Uber, durante 2016, pagó a un hacker $100,000 para eliminar los datos recopilados de los servidores de la empresa. El ciberataque había afectado a más de 50 millones de clientes y 7 millones de conductores. En particular, el hacker había logrado recuperar más de 600.000 números de licencia de conducir, pero no números de seguridad social ni de tarjetas de crédito. Joseph Sullivan, director de seguridad de la información y entonces director ejecutivo Travis Kalanick, había insistido en que la información permaneciera en secreto. La FTC abrió una investigación después de la publicación del artículo.
Ejércitos latinoamericanos víctimas de un gran hackeo
En septiembre de 2018, al concluir una investigación de 50 estados del país, se ordenó a Uber pagar una multa de $148 millones. Una cantidad que nunca antes se había infligido a una empresa estadounidense.
Uber no ha sido condenado solo en suelo estadounidense. En Francia, los tribunales condenaron a la empresa VTC a una multa de 400.000 euros por haber ocultado esta piratería. Holanda y Reino Unido también han sancionado a la empresa con multas.
Pero en agosto de 2020, Joseph Sullivan fue acusado por los tribunales de California, independientemente de su antiguo empleador, de haber intentado encubrir el hackeo. Dos años después, en otra reunión con la justicia estadounidense, Uber acepta sus errores. La empresa logró entonces no ser procesada gracias a su confesión y el acuerdo alcanzado en 2018.
Este miércoles 5 de octubre de 2022, Joseph Sullivan fue declarado culpable de los cargos que se le imputan. El tribunal determinó que no fue hasta que Dara Khosrowshahi asumió el cargo de director ejecutivo que se notificó a la FTC. La sanción aún no está decidida, pero el exjefe de seguridad informática se enfrenta a cinco años de prisión por entorpecimiento, y hasta tres años adicionales por no denunciar un delito.
Uber sirve de ensayo en el ámbito de la ciberseguridad
Este juicio ha sido seguido de cerca en la comunidad de ciberseguridad. Se considera como una prueba de la visión de la justicia estadounidense sobre las responsabilidades y obligaciones de los administradores de TI.
Es extremadamente raro, según los especialistas, que los líderes sean objeto de procesos penales a raíz de un hackeo. Anteriormente, los líderes ni siquiera eran despedidos por este tipo de negocios. Este efecto de bola de nieve legal del lado de Uber ahora debería disuadir a las empresas de ocultar sus filtraciones de datos. Las noticias recientes muestran que Uber ha aprendido de sus errores y ya no duda en comunicar cualquier riesgo de filtración de datos.