Uber ocultó el robo de datos de 57 millones de clientes

El presidente de Uber, Dara Khosrowshahi, anunció el pasado 21 de noviembre de 2017, que su compañía fue objeto de un ciberataque durante octubre de 2016.  Este anuncio llega al público con casi 13 meses de demora.

El presidente alegó que la decisión de ocultar el anuncio del ataque con el público fue tomada unilateralmente por el antiguo líder del departamento de seguridad informática (D.S.I.) de la compañía, quién incluso dejó a la alta gerencia fuera de la información por mucho tiempo.

El antiguo jefe de D.S.I. pagó a los atacantes $100,000 con el fin de que destruyeran las copias que habían extraido ilegalmente.      Uber despidió al encargado de seguridad y aseguró que un auditor forense independiente de la compañía verificó que no han habido fraudes o copias del material robado.

¿Qué información le hurtaron  a UBER?

De acuerdo con la publicación oficial, los delincuentes extrajeron:

• Nombres y números de licencia de conducir de 600,000 conductores de Estados Unidos de América
• Nombre, teléfonos y correos electrónicos de 57 millones de clientes del mundo.

¿Por qué pasó?

Uber almacena sus datos en las nubes de Amazon.   Los atacantes obtuvieron las llaves de acceso (contraseñas) de dicho almacén e hicieron copias ilegales de lo que estaba almacenado (la base de datos).

De acuerdo con el Diario El Guardián, la información sustraída no estaba encriptada, así que los atacantes podían leer todos los datos de sus clientes y conductores sin restricción.

¿Cuales son los riesgos más probables que podemos enfrentar los pasajeros y conductores?

De acuerdo con la publicación oficial de la compañía, los atacantes sustrajeron información sensitiva principalmente de conductores en Estados Unidos.   Si eres conductor en Panamá, probablemente tus datos están seguros, o no.   Este es el problema con la poca transparencia: la desconfianza.

Con la información que extrajeron de los clientes, los atacantes tienen lo suficiente para poder:

• Con el nombre, teléfono y email se pueden robar identidades.      Solamente, basta hacer una búsqueda en Google para conectar nombre, teléfono y email con rostros y fotos extraidos de social media.
• ataques de phishing (correos fraudulentos, diseñados para engañar y “pescar” información sensitiva).    Es probable que el choque psicologico y la confusión de esta noticia, inspire a otros hackers a enviar correos electrónicos haciendose pasar por Uber.      Ninguna compañía le enviará nunca un email pidiendo que usted le de su nombre de usuario, contraseña o número de tarjeta de crédito.     

De acuerdo con Uber, “no han registrado evidencia de fraude o usos malintencionados producto del incidente”.  Lo desconsolador es la poca transparencia con la que compañía ha manejado este asunto, haciéndonos desconfiar del alcance del ataque.  ¿Que tal si robaron más datos de los que públicamente reconocen?

¿Qué podemos hacer los pasajeros de Uber en Panamá?

• Estar alertas ante cualquier email que provenga de UBER o Uber Panamá.  Recuerde, ninguna compañía le enviará un correo pidiéndole que usted facilite o confirme su nombre de usuario, contraseña o tarjeta de crédito.
• Los canales de atención postventa y soporte técnico de Uber Panamá dejan mucho que desear.    Es difícil encontrar un teléfono que sirva para que te atienda alguien.    Los teléfonos  266-4792 y 6260-4500 no funcionan.
• Verificar sus registros de tarjetas de crédito desde octubre del 2016 hasta noviembre de 2017, para tratar de identificar cargos no identificados.
• Si eres paranoico:  obtén una tarjeta de crédito prepago y asóciala a todos los servicios en línea, así no expones tu tarjeta de crédito principal a futuros ataques electrónicos.
• Si eres ultra paranoico: desconéctate del internet y no tengas datos personales alojados con ninguna empresa nacional o extranjera.

¿Qué consecuencias enfrentará UBER?

• Pérdida de confianza de sus y prestigio de la marca, en particular por el pésimo manejo que la firma le dio a este ataque.
• En Estados Unidos y Europa, probablemente enfrente varias investigaciones penales y/o demandas civiles.    Adicional a la tormenta de relaciones públicas que se le avecina en los días venideros.
• En Panamá, probablemente no pase nada.    Quizás sanción moral.

Hasta noviembre de 2017, en Panamá apenas se estaba discutiendo el proyecto de Ley No. 463 para la protección de datos personales.    En ese proyecto se establece que las empresas son responsables de indenmizar de los perjuicios y daños que los clientes sufran debido al tratamiento indebido de los datos.  Podrán leer más sobre el proyecto en este enlace.

Conclusión

Si está en internet o tiene acceso a Internet, simplemente es mejor creer que no es seguro. Es una cuestión de cuándo se piratea o no.

La seguridad es muy costosa de implementar y también puede ser muy lenta. Las compañías tecnológicas se mueven muy rápido por muchas buenas y malas razones.     Esto pone la seguridad como una ocurrencia tardía en el proceso de desarrollo de productos tecnológicos, exponiendo los datos de sus clientes a riesgos potencialmente costosísimos.

Solamente nos queda a los usuarios adoptar prácticas de autoprotección de nuestros datos y presionar a nuestros políticos para que las leyes de Panamá protejan los datos personales de los ciudadanos.

Nos encantaría escuchar sus opiniones y comentarios (constructivos) en la sección de comentarios.