El exdirector de seguridad de Uber se enfrenta a un juicio histórico por filtración de datos

El exdirector de seguridad de Uber, Joe Sullivan, será juzgado esta semana en lo que se cree será el primer caso de un ejecutivo que se enfrenta a cargos penales en relación con una filtración de datos.

El tribunal de distrito de Estados Unidos en San Francisco comenzará a escuchar los argumentos relativos a si Sullivan, el exdirector de seguridad del gigante del transporte compartido, no reveló de manera adecuada una filtración de datos registrada en 2016 que afectó a 57 millones de usuarios y conductores de Uber en todo el mundo.

En una época en la que han aumentado los informes sobre ataques de ransomware y las primas de los seguros de ciberseguridad, el caso podría sentar un importante precedente en lo que respecta a la culpabilidad de los empleados y ejecutivos de seguridad estadounidenses por la manera en que las empresas para las que trabajan gestionan los incidentes de ciberseguridad.

La filtración de datos se hizo pública por primera vez en noviembre de 2017, cuando el director ejecutivo de Uber, Dara Khosrowshahi, reveló que los hackers accedieron a los números de licencia de conducir de 600 mil conductores de Uber en Estados Unidos, así como a los nombres, direcciones de correo electrónico y números telefónicos de hasta 57 millones de usuarios y conductores de Uber.

La ley obliga a revelar información como la de Khosrowshahi en muchos estados de Estados Unidos, y la mayoría de las normativas exigen que la notificación se efectúe “en el momento más conveniente posible y sin demora injustificada”.
No obstante, el anuncio de Khosrowshahi estuvo acompañado de una confesión: había transcurrido todo un año desde la filtración de la información.

“Es posible que se pregunten por qué apenas estamos hablando de esto ahora, un año después”, comentó en ese momento Khosrowshahi, añadiendo que la empresa había investigado el retraso y había despedido a dos ejecutivos que lideraron la respuesta a la filtración, uno de ellos era Sullivan.

La revelación de Uber generó varias investigaciones federales y estatales. En 2018, Uber pagó 148 millones de dólares por no haber revelado la filtración de datos en el marco de un acuerdo a nivel nacional con 50 fiscales generales estatales. En 2019, los dos hackers se declararon culpables de haber hackeado Uber y posteriormente extorsionar el programa de investigación de seguridad “bug bounty” de Uber. En 2020, el Departamento de Justicia presentó cargos penales contra Sullivan.

En los documentos judiciales, los fiscales federales alegaron que, en un intento de encubrir la violación de seguridad, Sullivan “dio instrucciones a su equipo para que mantuviera el conocimiento sobre la filtración de 2016 estrictamente controlado” y para que tratara el incidente como parte del programa bug bounty.

Dicho programa pretendía incentivar a los hackers y a los investigadores de seguridad a informar sobre las vulnerabilidades a cambio de recompensas en efectivo, aunque no permitía “recompensar a un hacker que hubiera accedido y obtenido información personal identificable de usuarios y conductores de los sistemas controlados por Uber”, indica la demanda.

Los hackers de la filtración de 2016 recibieron una recompensa de 100 mil dólares, señala la demanda, una cantidad superior a cualquier recompensa que la empresa hubiera pagado como parte del programa hasta ese momento.

Sullivan supuestamente también hizo que los hackers firmaran un acuerdo complementario de confidencialidad (NDA) que “representaba falsamente que los hackers no obtuvieron ni almacenaron ningún dato durante su intrusión”, escribieron los fiscales federales.

En 2018, meses después de que fuera despedido, Sullivan refutó cualquier afirmación de encubrimiento y señaló que se sintió “sorprendido y decepcionado cuando aquellos que querían retratar a Uber de forma negativa sugirieron rápidamente que esto era un encubrimiento”.

Ni Sullivan ni Uber respondieron de forma inmediata una solicitud para obtener sus comentarios.

La demanda del Departamento de Justicia alegó que solo Sullivan y el exdirector ejecutivo de Uber, Travis Kalanick, tenían conocimiento de todo el alcance del hackeo, así como su participación en la decisión de tratarlo como una revelación autorizada a través del programa bug bounty. No obstante, como informó primero el periódico New York Times, el sector dedicado a la seguridad se encuentra dividido en cuanto a si Sullivan merece ser considerado el único responsable de la filtración. Algunos han cuestionado si el papel de otros ejecutivos de la empresa y de su junta directiva también debería ser investigado, mientras que otros opinan que el papel de Sullivan en la misma fue evidente.

“No sé si la dirección de Uber sabía sobre el encubrimiento… o si Sullivan recibió instrucciones de realizar el pago de 100 mil dólares para ocultar la filtración. El juicio sacará todo eso a la luz”, escribió Jamil Farshchi, director de seguridad de información de Equifax, en una publicación en Linkedin. “Lo que sí sé es que nadie cuestiona que se produjo una filtración de 57 millones de personas, que Uber la encubrió y que Joe Sullivan… estuvo implicado en el encubrimiento”.

El juicio se desarrollará en un momento en que los informes sobre ataques de ransomware siguen aumentando. En 2021, Estados Unidos registró un aumento de más del 95% de los ataques de ransomware, según datos de la empresa de inteligencia sobre amenazas SonicWall. Muchos de esos atacantes han apuntado contra instalaciones sanitarias y escuelas. Los hackers atacaron el distrito escolar unificado de Los Ángeles, el segundo distrito escolar más grande de Estados Unidos, mediante un ciberataque durante el fin de semana del Día del Trabajo.