Uber ha dado bastantes pasos en falso durante los últimos años (ver Un ejército de psicólogos presiona a los conductores de Uber para seguir trabajando y Casi 6.000 incidencias de Atención al Cliente de Uber incluyen "violación"). Pero el último es sin duda uno de los peores. Bloomberg ha revelado que la empresa ocultó durante más de un año una masiva filtración de datos que expuso registros confidenciales de millones de conductores y clientes. Según estos informes, la filtración, ocurrida en octubre de 2016, fue ocultada por el Director de Seguridad de Uber, Joe Sullivan, entre otros. Sullivan y uno de sus adjuntos han sido despedidos. El cofundador y antiguo CEO de la empresa, Travis Kalanick, se enteró de la filtración poco después de que sucediera (ver Basta de acosos, trifulcas y plagios, Uber necesita madurar o morirá en el intento).

En un comunicado de prensa publicado poco después del  artículo de Bloomberg, el actual CEO de Uber, Dara Khosrowshahi, dijo que unos piratas informáticos habían logrado descargar archivos que contenían una importante cantidad de información, incluidos los nombres y números de licencia de alrededor de 600.000 conductores en Estados Unidos, como así como información personal como nombres, direcciones de correo electrónico y números de teléfono móvil de 57 millones de usuarios de Uber en todo el mundo. La empresa dice que los expertos forenses externos que contrató para analizar la filtración no han visto ninguna indicación de que los números de las tarjetas de crédito, los detalles de la cuenta bancaria ni los números de la seguridad social hayan sido descargados. Pero tampoco confirma que esos no se hayan filtrado.

Al igual que con anteriores ciberataques masivos, sabremos más detalles durante los próximos días y semanas. Pero ya hay algunas preguntas urgentes que necesitan respuestas rápidas. ¿Quién exactamente dentro del personal de Uber tenía información sobre el ataque después de que ocurriera y cuántas personas participaron activamente en encubrirlo, algo que requirió pagar unos 85.000 euros a los hackers a cambio de eliminar datos y mantener la filtración en secreto? ¿Alguien de la junta de Uber fue informado sobre el ataque en ese momento? Si no, ¿por qué no? ¿Y por qué no informó Uber rápidamente a los reguladores del hackeo?

Según Bloomberg, cuando ocurrió la filtración, Uber ya estaba manteniendo conversaciones con los reguladores de Estados Unidos sobre otras violaciones de privacidad y acababa de resolver un caso con la Comisión Federal de Comercio de EE. UU. sobre el mal manejo de los datos de los consumidores. El mes pasado, el medio también informó de que la junta de la compañía había iniciado una investigación sobre las actividades del equipo de seguridad de Sullivan. El bufete de abogados externo que lideró ese esfuerzo fue el que descubrió el hackeo y el encubrimiento posterior.

La violación de datos también plantea preguntas sobre las prácticas de seguridad de Uber. Según Bloomberg, los intrusos pudieron encontrar las credenciales de inicio de sesión de los ingenieros de Uber en Github, un repositorio de códigos ampliamente utilizado, que les dio acceso a un servidor de computación en la nube de Amazon que contenía los datos. Esa es una chocante violación de los fundamentos de ciberseguridad. También es asombroso que cantidades tan grandes de datos personales confidenciales estuvieran se estuvieran almacenando en un servicio externo aparentemente sin encriptar.

Ahora, Uber lucha por minimizar los daños a su reputación. La compañía ha contratado a un exasesor de la Agencia Nacional de Seguridad de Estados Unidos para ayudarla a replantear sus prácticas de seguridad y también ha reclutado a Mandiant, una empresa de ciberseguridad que ha lidiado con las consecuencias de muchas infracciones de alto perfil. Khosrowshahi se enteró del ciberataque a finales de 2016. En un comunicado afirma: "Nada de esto debería haber sucedido, y no les ofreceré excusas". Menos mal, porque el comportamiento y las prácticas que han dado lugar a este fiasco son inexcusables.