En el ataque informático habrían robado unos 57 millones de registros de usuarios y 600.000 números de licencias de conducir. Se llegó a un arreglo con los hackers pero se hizo pasar en la contabilidad como un pago a colaboradores, una práctica habitual pero que esta condena podría haber cambiado de forma definitiva.
Parece el argumento de una película que combina pirateo informático con entresijos legales. Pero es la realidad. En 2014 la empresa Uber sufrió un ataque informático que llevó a la Comisión Federal de Comercio de Estados Unidos a investigar lo que ocurría en el interior de la compañía. Dos años más tarde sería objetivo de un nuevo ataque solo que en este caso ya estaba bajo la mirada de las autoridades estadounidenses. Los piratas informáticos enviaron un correo electrónico a Joe Sullivan (jefe de ciberseguridad de Uber, por aquel entonces) y le dijeron que habían robado una gran cantidad de datos pero que los eliminarían a cambio de un rescate, según el Departamento de Justicia de EE. UU. o DOJ por sus siglas en inglés. El equipo de Sullivan confirmó que se habían robado datos: unos 57 millones de registros de usuarios de Uber y 600.000 números de licencias de conducir.
Según el DOJ, Sullivan hizo arreglos para que los piratas informáticos recibieran unos 100.000 euros en bitcoins. A cambio del rescate firmaron un acuerdo de confidencialidad para no revelar cómo lo habían conseguido. El pago se realizó en diciembre de 2016, a pesar de que no se sabía el nombre de los hackers. El pago se disfrazó como una «recompensa por errores», un término que se utiliza habitualmente para catalogar pagos a expertos en ciberseguridad que señalan vulnerabilidades para que puedan corregirse. En 2017 se identificó a los culpables, fueron condenados por los delitos y tuvieron que firmar un nuevo acuerdo de confidencialidad, ahora con sus verdaderos nombres.
Negociar es más común de lo que pensamos
Pero Joe Sullivan también fue a los tribunales. Negociar con piratas informáticos y pagarles para recuperar la información y no divulguen la brecha de seguridad no es algo extraño. De hecho sería muy habitual. La diferencia clave es que Sullivan trató de encubrirlo. De acuerdo con el Departamento de Justicia, Sullivan «orquestó estos actos a pesar de saber que los piratas informáticos estaban pirateando y extorsionando a otras empresas además de Uber, y que los piratas informáticos habían obtenido datos de al menos algunas de esas otras empresas”.
Sullivan fue despedido en 2017 y en el juicio, que terminó esta semana, se le encontró culpable de obstrucción de la justicia y encubrimiento de un delito grave. Lo irónico es que en el pasado Sullivan había trabajado en delitos cibernéticos para la oficina del fiscal federal de San Francisco.
El veredicto fue una sorpresa para muchos que trabajan en seguridad informática ya que supuestamente Sullivan habría informado a algunas personas de alto rango en Uber sobre la amenaza. Tanto es así que en el juicio se supo que el departamento de asesoramiento legal interno había sugerido que no era necesario revelar el ataque si se identificaba a los atacantes, y acordaban eliminar los datos y no difundirlos más.
En respuesta a la sentencia, Ilia Kolochenko, miembro de la Red de Expertos en Protección de Datos de Europol, señaló que “el caso de Uber es solo otro ejemplo ilustrativo de la tendencia mundial de responsabilizar a los ejecutivos de seguridad cibernética por las responsabilidades de sus empresas”.
El final de la historia es que Sullivan fue sentenciado a tres años de libertad condicional por encubrir un ataque cibernético de las autoridades, de pagar a los piratas informáticos 100.000 euros y ahora deberá pagar una multa por la mitad de esa cifra y cumplir 200 horas de servicio comunitario. Lo que hace que este caso sea interesante es que se trata de uno de los primeros en los cuales un jefe de ciberseguridad expone los problemas a los que se enfrentan casi todas las empresas… y que pagan para resolverlos. Un análisis publicado en Statista evidencia que en 2022 más del 70% de las empresas fueron pirateadas y de ellas, 7 de cada diez pagaron un rescate.
La sentencia de Sullivan podría haber modificado la tendencia de pagar de las empresas, ya que en 2022 el total de los rescates llegó a 456 millones de euros, un descenso muy grande desde los 765 millones que se pagaron en 2021.
The post Condenado el exjefe de seguridad de Uber por no informar de un hackeo appeared first on ADSLZone.
0 Commentaires