Uber es noticia tras un nuevo ataque de ingeniería social

December 13, 2024 | 5 minutes read
Uber es noticia tras un nuevo ataque de ingeniería social

El 15 de septiembre de 2022, se informó de que el proveedor estadounidense de movilidad como servicio Uber había sufrido otra violación masiva de datos que afectaba a toda la red de la empresa. Asimismo, se alega que esta filtración ha sido más perjudicial que la última filtración importante que sufrió la empresa en 2016, un incidente que dio lugar a que la información personal de más de 57 millones de usuarios fuera revelada al público en general. En un principio, Uber trató de encubrir la filtración de datos que tuvo lugar en 2016 ofreciendo pagar 100.000 dólares en bitcoins a los hackers que habían lanzado el ataque. Sin embargo, la verdad de este encubrimiento fue finalmente revelada por una investigación de la Comisión Federal de Comercio (FTC) que se llevó a cabo casi un año después.

Teniendo en cuenta estos antecedentes, Uber se enfrentará sin duda a una gran cantidad de críticas y al escrutinio público en lo que respecta a la forma en que deciden gestionar la filtración de datos más reciente que se produjo esta semana. Con este fin, el hacker que realizó el ataque “se cree que ha violado múltiples sistemas internos, con acceso administrativo a los servicios en la nube de Uber, incluyendo Amazon Web Services (AWS) y Google Cloud (GCP)”. Posteriormente, en un artículo del New York Times que dio a conocer la noticia a principios de esta semana, este hacker en cuestión envió un mensaje de texto a un empleado de Uber bajo la apariencia de ser un “personal de tecnología de la información corporativa.” A su vez, este ataque de ingeniería social permitió al hacker infiltrarse en la supuestamente débil red de seguridad de Uber, ya que incluso el sistema de mensajería interno de la compañía, Slack, quedó fuera de servicio.

Los riesgos de los ataques de ingeniería social

A diferencia de otras formas de ciberdelincuencia, en las que un hacker puede intentar acceder a una red o base de datos online mediante tácticas de fuerza bruta u otros métodos similares, los ataques de ingeniería social buscan infundir cierto nivel de confianza en un empleado que trabaja para la empresa, normalmente bajo la premisa de ser un compañero legítimo, antes de aprovecharse de esta confianza para lanzar un ciberataque. Una vez que un ciberdelincuente es capaz de obtener las credenciales de un empleado que trabaja para una empresa como Uber, dispondrá de los recursos y la información necesarios para derribar los sistemas en línea de una empresa con relativa facilidad, como se ha demostrado con la última filtración de datos de Uber.

Como afirma Kevin Reed, CISO de Acronis, en un mensaje publicado en la red social Linkedin: “Una vez en la red interna, los atacantes encontraron credenciales con privilegios elevados en un archivo compartido de la red y las utilizaron para acceder a todo, incluidos los sistemas de producción, la consola EDR del cuerpo, la interfaz de gestión Slack de Uber… Esto tiene mala pinta. Lo peor es que si tenías tus datos en Uber, hay muchas posibilidades de que mucha gente tenga acceso a ellos”. Sin embargo, a pesar de los numerosos detalles sobre el ciberataque que han sido confirmados, todavía se desconoce cómo el hacker en cuestión fue capaz de superar el proceso de autenticación de dos factores una vez que tuvo acceso a las credenciales de inicio de sesión de un empleado de Uber.

Acuerdo sobre la filtración de datos más reciente de Uber

Si la violación de datos que Uber sufrió en 2016 es una indicación, la violación que ocurrió esta semana podría muy bien resultar en un acuerdo multimillonario para cualquier parte agraviada, dependiendo de las acciones legales que se emprendan en respuesta a la supuesta falla de seguridad de Uber. Dicho esto, Uber acordó pagar 148 millones de dólares en un acuerdo a nivel nacional que la compañía alcanzó con el fiscal general de Washington D.C., Karl A. Racine, en septiembre de 2018. Además, a Uber también se le exigió “fortalecer sus prácticas de gobierno corporativo y seguridad de datos para ayudar a prevenir un suceso similar en el futuro”, así como pagar 0,62 millones directamente a Washington D.C.

Además de los enormes acuerdos monetarios que Uber fue condenada a pagar en 2018, el ex funcionario de seguridad Joe Sullivan también fue acusado de cargos penales en respuesta a sus presuntos intentos de encubrir la violación de datos al ofrecer pagar a los hackers que lanzaron el ataque 0,000 en bitcoin, de conformidad con un Acuerdo de No Divulgación (NDA) que, según se informa, también hizo firmar a los ciberdelincuentes antes de renunciar al pago. En un caso que se cree que es el primero en el que un importante ejecutivo de una empresa es responsable penalmente por su papel en una filtración de datos. Sullivan fue “acusado de tres cargos de fraude electrónico, en violación del 18 U.S.C. § 1343; obstrucción a la justicia, en violación del 18 U.S.C. § 1505; y encubrimiento de un delito grave, en violación del 18 U.S.C. § 4”.

Aunque las violaciones de datos se han vuelto extremadamente comunes en nuestra sociedad moderna debido al papel inherente que Internet desempeña en la vida cotidiana, este hecho no niega los enormes riesgos que tales sucesos suponen para los trabajadores de a pie. Por esta razón, independientemente de la legitimidad del supuesto ciberataque más reciente de Uber, es imperativo que la empresa gestione este suceso con más diligencia y cuidado que en ocasiones anteriores, ya que incluso si la empresa es capaz de evitar otro costoso acuerdo monetario, seguirá enfrentándose al daño reputacional que se asocia a las empresas que experimentan repetidas violaciones de datos en un periodo de tiempo relativamente corto.

Related Reads

canada-facial-recognition-new-calls-for-regulation
December 13, 2024 | 5 minutes read
Canadá, reconocimiento facial, peticiones de regulación

Los defensores de la privacidad en Canadá piden al gobierno federal que establezca restricciones y leyes sobre el uso de la tecnología de reconocimiento facial.

Conozca Más »
data-warehouses-new-privacy-laws-and-business
December 13, 2024 | 5 minutes read
Almacenes de datos, nuevas leyes de privacidad y empresas

Un almacén de datos se define como un depósito de datos generados y recogidos por los distintos sistemas operativos de una empresa.

Conozca Más »
the-payment-application-data-security-standard-pa-dss
December 13, 2024 | 4 minutes read
Norma de seguridad de datos de aplicaciones de pago (PA-DSS)

La PA-DSS hace referencia a un conjunto de requisitos orientados a ayudar a los proveedores de software a mantener seguras las aplicaciones de pago.

Conozca Más »
what-is-tiny-ml-what-are-its-business-applications
December 13, 2024 | 5 minutes read
¿Qué es Tiny ML? ¿Cuáles son sus aplicaciones empresariales?

Tiny ML es un campo del aprendizaje automático que estudia modelos ejecutables en dispositivos pequeños y de baja potencia, como microcontroladores.

Conozca Más »
data-anonymization-privacy-and-business-security
December 13, 2024 | 5 minutes read
Anonimización de datos, privacidad y seguridad empresarial

La anonimización de datos protege la información personal al modificarla para que no se pueda identificar a una persona.

Conozca Más »
what-is-a-data-flow-diagram-privacy-compliance
December 13, 2024 | 5 minutes read
¿Qué es un diagrama de flujo de datos? La privacidad

Los mapas de flujo de datos son un método para trazar el flujo de datos a través de un proceso o físicamente a través de una red con fines de privacidad.

Conozca Más »