Hechos clave:
-
Joseph Sullivan es acusado por ocultar un hackeo que expuso los datos de 57 millones de clientes.
-
Nunca antes un oficial de seguridad fue acusado por obstruir la justicia y tergiversar un crimen.
El exdirector de seguridad de Uber, Joseph Sullivan, fue acusado de obstrucción a la justicia al encubrir el hackeo que, en 2016, expuso los datos de 57 millones de usuarios de la plataforma.
El ejecutivo pagó USD 100.000 en bitcoin a los atacantes, ocultó la violación de datos de las instituciones de seguridad y giró instrucciones a su equipo para mantener el suceso en secreto. Se cree que el caso crea un precedente ya que nunca antes un oficial de seguridad fue acusado de ocultar un hackeo.
Según una declaración emitida el jueves por el Departamento de Justicia de Estados Unidos, Sullivan está acusado por obstrucción a la justicia, debido a que no informó sobre un delito grave. El documento señala que el ejecutivo tomó «medidas deliberadas» para evitar que la Comisión Federal de Comercio (FTC) se enterara del hackeo, en el momento en el cual la agencia monitoreaba la seguridad de la plataforma a raíz de una violación de datos que tuvo lugar en 2014.
En noviembre de 2016 Sullivan fue contactado por los hackers que comprometieron los datos de Uber. Por correo electrónico los atacantes le exigieron un pago de seis cifras a cambio de no destruir los datos que tenían en su poder.
En su comunicación los delincuentes revelaron que habían accedido y descargado una base de datos de la plataforma que contenía información privada de usuarios y conductores.
Según los registros del tribunal, en 2016, los hackers utilizaron su propia herramienta de verificación de GitHub para acceder a otros sitios que se habían hecho públicos anteriormente. Al hacerlo, apuntaban a los empleados de las empresas para piratear sus cuentas y así tener acceso a información sensible.
Después de entrar en las cuentas de otras personas buscaron herramientas en la plataforma de servicios de computación de Amazon Web Services (AWS). Luego los hackers crearon accesos para conectarse a los backends (conjunto de códigos que ejecuta la operatividad de una aplicación y tiene acceso a las bases de datos) de Uber, para así obtener información confidencial de 57.000 clientes y 600.000 conductores.
Los fiscales dicen que, en lugar de notificar a la FTC sobre el incidente, como exige la ley, Sullivan acordó pagar a los piratas informáticos la cantidad requerida, comprando así su silencio.
Cuando ocurrió el ataque en 2016, el organismo que se encarga de la defensa de los derechos de los consumidores en Estados Unidos inspeccionaba la seguridad de la plataforma tecnológica de Uber en relación con una violación de datos que ocurrió en 2014, tal como señala la declaración del fiscal.
Sullivan además se encargó de gestionar el pago demandado por los hackers y lo ocultó como si se tratara de una recompensa otorgada por Uber. La empresa cuenta con un programa que otorga incentivos monetarios a los investigadores o expertos en seguridad informática que descubren vulnerabilidades en la plataforma tecnológica, antes de que esta pueda ser explotada por actores maliciosos.
Para procesar las recompensas por vulnerabilidades, Uber solicita a los colaboradores que firmen un acuerdo de no divulgación de la información. Al cumplir con este procedimiento, es de suponer que los hackers habrían quedado identificados.
Sin embargo, Sullivan habría obligado a los delincuentes a renunciar al acuerdo de no divulgación. Además, supuestamente insistió en que los hackers firmaran un documento en el que juraban que no habían robado ningún dato de Uber, aunque eso era una mentira.
La cantidad que Sullivan pagó a los piratas informáticos, era por mucho, la mayor que Uber había pagado a través del programa de recompensas, que no estaba destinado a cubrir el robo de datos privados de usuarios y conductores.
Seguridad, hackeo, verdades y mentiras en Uber
En 2017, Dara Khosrowshah asumió la dirección general de Uber. Poco tiempo después se enteró de todo lo ocurrido con el hackeo del año anterior, informó a las autoridades y luego despidió a Sullivan. Ahora, el antiguo jefe de Uber es sospechoso por obstruir la justicia y tergiversar un crimen. Puede ser condenado hasta por ocho años de prisión si la justicia le declara culpable.
Sullivan, de 52 años, se unió a Uber en 2015. Empezó su carrera como fiscal federal en piratería informática y derecho de la propiedad intelectual. Durante una década ha ocupado otros cargos en grandes empresas como PayPal y EBay Inc. antes de convertirse en el director de seguridad de Facebook en 2008. Actualmente trabaja como jefe de seguridad de información en Cloudflare.
Según el New York Times el personal de seguridad de Uber asegura que Sullivan pagó a los hackers con el objeto de asegurar que no se destruyeran los datos, especialmente la información de las licencias de conducir de los conductores que ofrecen sus servicios a través de la aplicación de la compañía.
El portavoz de Sullivan, Brad Williams dijo que los cargos no tienen fundamento. «Este caso se centra en una investigación de seguridad de datos en Uber por un gran equipo multifuncional formado por algunos de los principales expertos en seguridad del mundo. De no haber sido por los esfuerzos del Sr. Sullivan y su equipo, es probable que los individuos responsables de este incidente nunca hubieran sido identificados”, tal como reseñó el referido medio de comunicación.
La investigación sobre el caso descubrió que los hackers de Uber eran: el estadounidense Brandon Glover, de 26 años, y el canadiense Vasile Mereacre, de 23 años. Ambos se declararon culpables el año pasado de 2019.
En julio pasado, como reportó CriptoNoticias, la cuenta en Twitter de Uber fue víctima del hackeo masivo mediante el cual se ejecutó un robo en bitcoin. Recientemente los delitos cibernéticos se han incrementado a nivel global en cierta medida a causa de la pandemia y el aumento de la actividad digital, situación que es aprovechada por los ciberdelincuentes para aumentar su campo de acción.