Australia, Estados Unidos, Filipinas y Reino Unido abrieron investigaciones sobre Uber, luego de que la empresa admitiera el hackeo de datos de 57 millones de usuarios en el mundo, incluidos los de 600 mil conductores. Autoridades de los gobiernos de Estados Unidos y Reino Unido, dos de sus principales mercados, informaron que realizarán una indagatoria sobre la respuesta de la compañía ante la sustracción de los datos. Legisladores estadounidenses pidieron a la Comisión Federal de Comercio (FTC) que estudie el caso, mientras que al Congreso pidió audiencias.
Fiscales de Nueva York y Connecticut investigan robo de datos
Los fiscales de los estados de Nueva York, Eric Schneiderman, y Connecticut, George Jepsen, abrieron sendas investigaciones sobre el robo de datos a Uber, según confirmaron sus oficinas a la AFP. Uber reveló el martes que la información fue pirateada en octubre de 2016 y que lo había mantenido en secreto durante más de un año. Los nombres de los usuarios así como sus correos electrónicos y números de teléfonos móviles fueron robados, explicó el martes en un comunicado el presidente ejecutivo de la empresa, Dara Khosrowshahi. Basado en una investigación externa, Khosrowshahi afirmó, sin embargo, que la información sobre los trayectos realizados, los números de tarjeta de crédito y cuentas bancarias, los números de seguridad social y las fechas de nacimiento de los usuarios no fueron sustraídos. Dos miembros del equipo de seguridad de información de Uber que “comandaron la respuesta” al incidente y no alertaron a los usuarios que sus datos habían sido violados fueron despedidos de la compañía, basada en San Francisco, según Khosrowshahi. La oficina del fiscal del estado de Nueva York no dio detalles sobre el objetivo preciso de la investigación, pero Uber había alcanzado un acuerdo con él en enero de 2016 sobre la protección de los datos de sus clientes. La investigación sucede a otra iniciada en 2014 sobre otro hackeo contra Uber, que había pagado una multa de 20 mil dólares por no haberlo revelado a tiempo. El objetivo de ese pirateo era obtener datos sobre los conductores de la empresa y no de los clientes. La firma de abogados estadounidense Keller Rohrback, especializada en demandas colectivas contra piratas informáticos, anunció igualmente la apertura de su propia investigación sobre el robo de datos y llamó a los usuarios de la aplicación a contactarlos. Según fuentes cercanas al caso, Uber habría pagado 100 mil dólares a los piratas informáticos para que no divulgaran el hackeo y destruyeran la información obtenida.
Al decidir no revelar este pirateo masivo tratando de atenuar las consecuencias pagando a los piratas para destruir los datos, Uber jugó con los datos personales de sus usuarios y de sus conductores”, afirmó Cari Campen Laufenberg, abogada de Keller Rohrback.
“Además, calló durante más de un año, privando a las víctimas de un tiempo precioso para tomar medidas a fin de atenuar (las consecuencias del) robo de sus datos privados”, acusó.
Uber trata de dejar atrás acusaciones de acoso sexual
Este ataque informático es un nuevo golpe a la reputación de Uber, que trata de dejar atrás las acusaciones sobre fallos en la verificación de antecedentes penales de sus conductores y de acoso sexual dentro de la compañía. Khosrowshahi asumió la dirección de la empresa a finales de agosto, en sustitución del fundador Travis Kalanick, expulsado por los inversionistas deseosos de restaurar la imagen del grupo. Con el objetivo de salir a bolsa en 2019, Uber deberá mostrar una boleta de buena conducta en sus cuentas a las autoridades estadounidenses, al tiempo de convencer a los inversionistas potenciales de que la era de escándalos ligados a Kalanick ya pasó. Khosrowshahi dijo el lunes que fue informado “recientemente” del incidente y que dos personas ajenas a la compañía serían las responsables. Según expertos en seguridad informática consultados por AFP, los piratas habrían podido acceder a una contraseña grabada en la “nube” para poder obtener los datos de Uber almacenados en servidores de AWS, una filial de Amazon.
El hecho de que los atacantes hayan podido penetrar una cuenta ubicada en un servidor de Amazon sin obtener números de tarjetas de crédito, números de seguridad social y otros datos altamente sensibles podría significar que Uber tiene controles dispuestos para proteger ese tipo de información”, dijo el vicepresidente de seguridad de Covata, Mike Fleck.
“También es posible que los atacantes no hayan buscado bien y que Uber tuvo suerte”, añadió. (Con información de Reuters / AFP. Foto: Business of Apps). KT/RB