.

Computación

El 'ubergate': Uber ocultó durante más de un año un hackeo que filtró los datos de millones de clientes

1

¿Qué personas de Uber tenían información sobre el ataque? ¿Cuántas participaron en encubrirlo? ¿Alguien de la junta fue informado sobre el ataque en ese momento? Si no, ¿por qué no? Si usted es usuario de Uber, es posible que un grupo de hackers haya tenido acceso a sus datos, bancarios incluidos

  • por Martin Giles | traducido por Teresa Woods
  • 22 Noviembre, 2017

Uber ha dado bastantes pasos en falso durante los últimos años (ver Un ejército de psicólogos presiona a los conductores de Uber para seguir trabajando y Casi 6.000 incidencias de Atención al Cliente de Uber incluyen "violación"). Pero el último es sin duda uno de los peores. Bloomberg ha revelado que la empresa ocultó durante más de un año una masiva filtración de datos que expuso registros confidenciales de millones de conductores y clientes. Según estos informes, la filtración, ocurrida en octubre de 2016, fue ocultada por el Director de Seguridad de Uber, Joe Sullivan, entre otros. Sullivan y uno de sus adjuntos han sido despedidos. El cofundador y antiguo CEO de la empresa, Travis Kalanick, se enteró de la filtración poco después de que sucediera (ver Basta de acosos, trifulcas y plagios, Uber necesita madurar o morirá en el intento).

En un comunicado de prensa publicado poco después del  artículo de Bloomberg, el actual CEO de Uber, Dara Khosrowshahi, dijo que unos piratas informáticos habían logrado descargar archivos que contenían una importante cantidad de información, incluidos los nombres y números de licencia de alrededor de 600.000 conductores en Estados Unidos, como así como información personal como nombres, direcciones de correo electrónico y números de teléfono móvil de 57 millones de usuarios de Uber en todo el mundo. La empresa dice que los expertos forenses externos que contrató para analizar la filtración no han visto ninguna indicación de que los números de las tarjetas de crédito, los detalles de la cuenta bancaria ni los números de la seguridad social hayan sido descargados. Pero tampoco confirma que esos no se hayan filtrado.

Al igual que con anteriores ciberataques masivos, sabremos más detalles durante los próximos días y semanas. Pero ya hay algunas preguntas urgentes que necesitan respuestas rápidas. ¿Quién exactamente dentro del personal de Uber tenía información sobre el ataque después de que ocurriera y cuántas personas participaron activamente en encubrirlo, algo que requirió pagar unos 85.000 euros a los hackers a cambio de eliminar datos y mantener la filtración en secreto? ¿Alguien de la junta de Uber fue informado sobre el ataque en ese momento? Si no, ¿por qué no? ¿Y por qué no informó Uber rápidamente a los reguladores del hackeo?

Según Bloomberg, cuando ocurrió la filtración, Uber ya estaba manteniendo conversaciones con los reguladores de Estados Unidos sobre otras violaciones de privacidad y acababa de resolver un caso con la Comisión Federal de Comercio de EE. UU. sobre el mal manejo de los datos de los consumidores. El mes pasado, el medio también informó de que la junta de la compañía había iniciado una investigación sobre las actividades del equipo de seguridad de Sullivan. El bufete de abogados externo que lideró ese esfuerzo fue el que descubrió el hackeo y el encubrimiento posterior.

La violación de datos también plantea preguntas sobre las prácticas de seguridad de Uber. Según Bloomberg, los intrusos pudieron encontrar las credenciales de inicio de sesión de los ingenieros de Uber en Github, un repositorio de códigos ampliamente utilizado, que les dio acceso a un servidor de computación en la nube de Amazon que contenía los datos. Esa es una chocante violación de los fundamentos de ciberseguridad. También es asombroso que cantidades tan grandes de datos personales confidenciales estuvieran se estuvieran almacenando en un servicio externo aparentemente sin encriptar.

Ahora, Uber lucha por minimizar los daños a su reputación. La compañía ha contratado a un exasesor de la Agencia Nacional de Seguridad de Estados Unidos para ayudarla a replantear sus prácticas de seguridad y también ha reclutado a Mandiant, una empresa de ciberseguridad que ha lidiado con las consecuencias de muchas infracciones de alto perfil. Khosrowshahi se enteró del ciberataque a finales de 2016. En un comunicado afirma: "Nada de esto debería haber sucedido, y no les ofreceré excusas". Menos mal, porque el comportamiento y las prácticas que han dado lugar a este fiasco son inexcusables.

Computación

Las máquinas cada vez más potentes están acelerando los avances científicos, los negocios y la vida.

  1. El cerebro procesa las palabras que más usa de forma distinta al resto

    Los patrones de frecuencia de 50 idiomas demuestran que el lenguaje depende de un proceso dual. Los términos más frecuentes se procesan instintivamente mientras que los menos usados requieren un pensamiento racional. El hallazgo podría ser clave para el procesamiento del lenguaje natural

  2. Aislar el protocolo de consenso podría revolucionar 'blockchain'

    Las grandes debilidades de los contratos inteligentes en cadenas de bloques, como su falta de confidencialidad y sus limitaciones de ejecución, podrían solucionarse con este enfoque de la 'start-up' Oasis Lab, cuya idea ya ha recaudado casi 40 millones de euros en inversiones

  3. La computación a exaescala busca máquinas pero también aplicaciones

    Mientras los ordenadores cuánticos funcionales siguen intentando despegar, los países compiten en el terreno de la supercomputación. Los primeros superordenadores a exaescala podrían llegar en 2021, pero también hacen falta programas especializados para que sean realmente útiles