Ex jefe de seguridad de Uber, declarado culpable en tribunal

December 13, 2024 | 5 minutes read
Ex jefe de seguridad de Uber, declarado culpable en tribunal

A pesar de que las violaciones de datos siguen siendo una preocupación creciente para los consumidores de todo el mundo, es muy raro que una persona se enfrente a consecuencias legales por su papel en tales sucesos. Sin embargo, el ex jefe de seguridad de Uber, Joseph Sullivan, fue declarado culpable de ocultar la violación masiva de datos que sufrió su antiguo empleador hace varios años, en 2016, ya que, según se informa, Sullivan participó en el encubrimiento del ataque. Más concretamente, “Sullivan, que fue despedido de Uber en 2017, fue declarado culpable de los cargos de obstrucción a la justicia y encubrimiento deliberado de delito grave, según confirmó el miércoles un portavoz del departamento de justicia estadounidense.”

Para contextualizar, la mencionada violación de datos que Uber experimentó en 2016 afectó a más de 57 millones de consumidores que habían estado utilizando la empresa de viajes compartidos para fines de alimentación y transporte hasta ese momento. Sin embargo, a pesar de la gravedad de la violación de datos que se produjo, Sullivan supuestamente acordó pagar a los hackers 100.000 dólares en bitcoin en un intento de barrer el evento debajo de la alfombra por así decirlo. Además, Sullivan también habría hecho firmar a los hackers implicados en el ataque un acuerdo de confidencialidad, y el público en general solo tuvo conocimiento de la violación de datos después de que la Comisión Federal de Comercio (FTC) iniciara su propia investigación contra Uber un año después, en 2017.

Un nuevo precedente en ciberseguridad

Debido a la exposición nacional que ha recibido el caso criminal de Joseph Sullivan, así como a la prominencia de Uber como empresa de viajes compartidos a escala internacional, muchos expertos dentro de la comunidad de la ciberseguridad, han afirmado que la forma en que Sullivan ha sido tratado por el gobierno federal de EE.UU. servirá como una llamada de atención tanto para los ciberdelincuentes como para los responsables de seguridad. Posteriormente, “los fiscales federales señalaron que el caso debería servir de advertencia a las empresas sobre la forma en que cumplen la normativa federal a la hora de gestionar las violaciones de sus redes”. Hasta este punto, los fallos de las empresas a la hora de proteger la información personal de sus respectivos clientes están bien documentados desde hace muchos años.

Para ilustrar aún más este punto, Casey Ellis, fundador y director técnico de Bugcrowd, una plataforma de ciberseguridad de crowdsourcing, dijo a TechNewsWorld que “pide una política más clara a nivel federal en los Estados Unidos en torno a la protección de la privacidad y el tratamiento de los datos de los usuarios, y pone de relieve el hecho de que un enfoque proactivo para el manejo de la información de vulnerabilidad, en lugar del enfoque reactivo adoptado aquí, es un componente clave de la resiliencia para las organizaciones, sus equipos de seguridad y sus accionistas.” A este último respecto, el procesamiento de Joe Sullivan también ha puesto de relieve la necesidad de una legislación federal de protección de datos, ya que empresas como Uber prácticamente no se enfrentan a ninguna sanción cuando se trata de violaciones de datos.

La violación de datos de Capital One en 2019

Mientras que la violación de datos a la que se enfrentó Uber en 2016 fue una de las más grandes que ha afectado a la nación, el prominente holding bancario Capital One también se vio afectado por una violación masiva varios años después, en 2019. Como referencia, este ataque fue lanzado por Paige Thompson, una ex ingeniera de software de Amazon, y afectó a más de 100 millones de consumidores a nivel global. En este sentido, Thompson también fue recientemente declarada culpable de su papel en la violación de datos, ya que sus acciones provocaron el robo de datos personales de millones de personas, así como una demanda colectiva multimillonaria que finalmente se impuso contra Capital One. Del mismo modo, a pesar de que Thompson pudo eludir una pena de prisión, su veredicto de culpabilidad también pondrá sobre aviso a la comunidad de la ciberseguridad.

Legislación ineficaz en materia de notificación de violaciones de datos

A pesar del papel que individuos como Joseph Sullivan y Paige Thompson han desempeñado tanto en el lanzamiento como en el encubrimiento de violaciones de datos y ciberataques en los últimos años, la realidad de la situación es que todos los estados y territorios de EE.UU. han promulgado algún tipo de legislación de notificación de violación de datos a partir de 2022. Sin embargo, las leyes han tenido aparentemente poco impacto contra los delincuentes que están involucrados en los ataques cibernéticos, ya que la mayoría de las leyes de notificación de violación de datos simplemente sirven para notificar a las personas afectadas que su información personal puede estar en peligro. Sin embargo, después de esta notificación inicial, estas leyes no hacen prácticamente nada para ayudar a los consumidores a recuperarse de verse afectados por una violación de datos.

Aunque sigue sin estar claro si Joe Sullivan acabará cumpliendo condena en prisión por su papel en el encubrimiento de la filtración de datos de Uber en 2016, el hecho de que haya sido declarado culpable de sus delitos es, no obstante, un paso en la dirección correcta en lo que respecta a la protección de los consumidores. Dado que empresas como Uber y Capital One no podrían desarrollar su actividad sin la información personal de los clientes a los que prestan sus servicios, salvaguardar estos datos personales debe ser una prioridad absoluta en todo momento. Además, los empleados que no protejan esta información deberán responder de sus actos con todo el peso de la ley.

Related Reads

canada-facial-recognition-new-calls-for-regulation
December 13, 2024 | 5 minutes read
Canadá, reconocimiento facial, peticiones de regulación

Los defensores de la privacidad en Canadá piden al gobierno federal que establezca restricciones y leyes sobre el uso de la tecnología de reconocimiento facial.

Conozca Más »
data-warehouses-new-privacy-laws-and-business
December 13, 2024 | 5 minutes read
Almacenes de datos, nuevas leyes de privacidad y empresas

Un almacén de datos se define como un depósito de datos generados y recogidos por los distintos sistemas operativos de una empresa.

Conozca Más »
the-payment-application-data-security-standard-pa-dss
December 13, 2024 | 4 minutes read
Norma de seguridad de datos de aplicaciones de pago (PA-DSS)

La PA-DSS hace referencia a un conjunto de requisitos orientados a ayudar a los proveedores de software a mantener seguras las aplicaciones de pago.

Conozca Más »
what-is-tiny-ml-what-are-its-business-applications
December 13, 2024 | 5 minutes read
¿Qué es Tiny ML? ¿Cuáles son sus aplicaciones empresariales?

Tiny ML es un campo del aprendizaje automático que estudia modelos ejecutables en dispositivos pequeños y de baja potencia, como microcontroladores.

Conozca Más »
data-anonymization-privacy-and-business-security
December 13, 2024 | 5 minutes read
Anonimización de datos, privacidad y seguridad empresarial

La anonimización de datos protege la información personal al modificarla para que no se pueda identificar a una persona.

Conozca Más »
what-is-a-data-flow-diagram-privacy-compliance
December 13, 2024 | 5 minutes read
¿Qué es un diagrama de flujo de datos? La privacidad

Los mapas de flujo de datos son un método para trazar el flujo de datos a través de un proceso o físicamente a través de una red con fines de privacidad.

Conozca Más »