El ex jefe de seguridad de Uber se enfrenta a cargos penales

December 06, 2024 | 5 minutes read
El ex jefe de seguridad de Uber se enfrenta a cargos penales

A pesar de que las violaciones de datos se han convertido en un hecho casi cotidiano en los últimos 20 años debido a la actual dependencia del mundo de la tecnología digital, es muy raro que un delincuente o malhechor sea objeto de cargos penales en respuesta a un incidente de violación de la seguridad. Sin embargo, la promulgación de leyes de protección de datos en todo el mundo ha alterado por completo la forma en que la gente ve el concepto de privacidad personal, ya que muchos consumidores buscan ahora que las empresas rindan cuentas en caso de que no protejan la información personal de sus respectivos clientes.

Dicho todo esto, como ha informado el diario británico The Guardian, así como otros muchos medios de comunicación importantes de todo el mundo, “el antiguo responsable de seguridad de Uber, Joe Sullivan, será juzgado esta semana en lo que se cree que es el primer caso de un ejecutivo que se enfrenta a cargos penales en relación con una violación de datos”. Asimismo, este juicio se basa en una violación de datos que la empresa de transporte estadounidense Uber sufrió hace varios años, en 2016, ya que el suceso en cuestión habría afectado a más de 57 millones de pasajeros en varias naciones diferentes. Es más, también se ha alegado que Sullivan trabajó para encubrir la violación de datos y puso efectivamente en riesgo los datos personales de millones de personas.

Violación de datos de Uber en 2016

En 2016, el proveedor internacional de servicios de movilidad Uber sufrió una brecha de seguridad que expuso los datos personales de 57 millones de usuarios en todo el mundo. Sin embargo, a diferencia de muchas otras violaciones de alcance y magnitud similares, Uber no reveló inicialmente esta violación a ninguno de sus millones de clientes, y mucho menos a ningún organismo policial o gubernamental que podría haber intentado mitigar la violación. En su lugar, la existencia de la brecha solo se desveló después de que la FTC comenzara a investigar las operaciones de Uber entre 2015 y 2017. Según la agencia gubernamental, “la brecha se produjo después de que los hackers utilizaran credenciales robadas para acceder a una clave de acceso de un repositorio de código fuente, lo que les permitió acceder a datos personales tanto de conductores como de clientes”.

Estos datos personales de los clientes incluían direcciones de correo electrónico, números de carné de conducir, números de tarjetas de crédito, números de teléfono y nombres completos. A pesar de las consecuencias que esta violación de datos suponía para los millones de clientes de todo el mundo que utilizan la amplia gama de servicios de Uber, la FTC afirmó que la empresa de transporte intentó pagar un rescate de 100.000 dólares en BitCoin a los presuntos piratas informáticos que habían lanzado el ataque, a pesar de que el entonces director de sistemas de Uber, Joe Sullivan, no pudo confirmar la identidad de dichos piratas. En este sentido, muchas empresas que han sufrido filtraciones de datos en la última década han optado por pagar un rescate a sus ciberatacantes para mantener bajo control estos sucesos, con la esperanza de que estas transacciones sean un asunto puntual.

Acusaciones penales

Por el contrario, la brecha de seguridad que sufrió Uber acabó haciéndose pública, y Sullivan fue expulsado de la empresa debido a sus intentos de encubrir el ataque que se había producido. En este último punto, los cargos penales que se han presentado recientemente contra Sullivan son la culminación de una serie de investigaciones que han tenido lugar en el transcurso de los últimos 5 o 6 años, en lo que podría muy bien ser un caso histórico en lo que respecta a las obligaciones de las grandes empresas en relación con las brechas de seguridad. Con este fin, los fiscales federales del Departamento de Justicia de EE.UU. (DOJ) afirman que “Sullivan había “dado instrucciones a su equipo para mantener el conocimiento de la brecha de 2016 estrictamente controlado” y para tratar el incidente como parte del programa de recompensas por errores.”

NDA

Además del encubrimiento en el que supuestamente participó el ex jefe de seguridad de Uber, Joe Sullivan, cuando su empresa sufrió una filtración de datos en 2016, también se ha afirmado que Sullivan hizo firmar a los hackers responsables de la filtración un Acuerdo de No Divulgación (NDA) que los fiscales federales han descrito como “una declaración falsa de que los hackers no habían obtenido ni almacenado ningún dato durante su intrusión”. No obstante, Joe Sullivan ha calificado de inventada la letanía de acusaciones que se han vertido contra él en relación con su etapa como jefe de seguridad de Uber, ya que mantiene su inocencia insistiendo en que las acusaciones que se han vertido contra él estaban diseñadas para desviar la culpa de Uber.

Aunque aún está por ver el resultado de los juicios penales sobre la presunta implicación de Joe Sullivan en la violación masiva de datos de Uber en 2016, el veredicto al que se llegue en última instancia influirá sin duda en la forma en que se traten sucesos similares en el ámbito legal en un futuro próximo, ya que ha habido muchos otros casos en los últimos años en los que un ejecutivo de una empresa ha sido acusado de esconder una violación de datos bajo la alfombra. Por esta razón, las empresas y organizaciones de todo el mundo tendrán que reexaminar la forma en que gestionan las violaciones de seguridad, ya que no hacerlo puede tener consecuencias a largo plazo para todas las partes implicadas.

Related Reads

canada-facial-recognition-new-calls-for-regulation
December 13, 2024 | 5 minutes read
Canadá, reconocimiento facial, peticiones de regulación

Los defensores de la privacidad en Canadá piden al gobierno federal que establezca restricciones y leyes sobre el uso de la tecnología de reconocimiento facial.

Conozca Más »
data-warehouses-new-privacy-laws-and-business
December 13, 2024 | 5 minutes read
Almacenes de datos, nuevas leyes de privacidad y empresas

Un almacén de datos se define como un depósito de datos generados y recogidos por los distintos sistemas operativos de una empresa.

Conozca Más »
the-payment-application-data-security-standard-pa-dss
December 13, 2024 | 4 minutes read
Norma de seguridad de datos de aplicaciones de pago (PA-DSS)

La PA-DSS hace referencia a un conjunto de requisitos orientados a ayudar a los proveedores de software a mantener seguras las aplicaciones de pago.

Conozca Más »
what-is-tiny-ml-what-are-its-business-applications
December 13, 2024 | 5 minutes read
¿Qué es Tiny ML? ¿Cuáles son sus aplicaciones empresariales?

Tiny ML es un campo del aprendizaje automático que estudia modelos ejecutables en dispositivos pequeños y de baja potencia, como microcontroladores.

Conozca Más »
data-anonymization-privacy-and-business-security
December 13, 2024 | 5 minutes read
Anonimización de datos, privacidad y seguridad empresarial

La anonimización de datos protege la información personal al modificarla para que no se pueda identificar a una persona.

Conozca Más »
what-is-a-data-flow-diagram-privacy-compliance
December 13, 2024 | 5 minutes read
¿Qué es un diagrama de flujo de datos? La privacidad

Los mapas de flujo de datos son un método para trazar el flujo de datos a través de un proceso o físicamente a través de una red con fines de privacidad.

Conozca Más »