Menú
ES
AdGuard VPN Blog El ex-CSO de Uber que ocultó una filtración de datos se libra de la cárcel... por los pelos

El ex-CSO de Uber que ocultó una filtración de datos se libra de la cárcel... por los pelos

Ocultar las cosas más vergonzosas para parecer mejores personas forma parte de la naturaleza humana. Cuando se trata del trabajo, esto se extiende a ocultar errores y deslices de una empresa y esperar que nadie se dé cuenta. Pero este enfoque es un signo de falta de profesionalidad, y cuando llega el inevitable momento en que la verdad sale a la luz, puede causar más problemas a largo plazo. Y eso es exactamente lo que le ocurrió a Joe Sullivan, el antiguo Director de Seguridad (CSO) de la empresa de movilidad y reparto de comida Uber.

El 4 de mayo, Sullivan fue condenado a tres años de libertad condicional por obstrucción a la justicia y delitos relacionados con la ocultación de la filtración de datos de la empresa en 2016. En esta filtración, dos hackers accedieron a la información personal (nombres, direcciones de correo electrónico y números de teléfono) de 57 millones de usuarios y conductores de Uber, incluidos las licencias de conducir de unos 600.000 conductores estadounidenses. Filtraciones de esta magnitud son raras, pero no infrecuentes. Lo que hace que este caso sea especialmente interesante es el hecho de que se trata de la primera vez que el jefe de seguridad de una empresa ha sido acusado penalmente por mala gestión de la información, con muchas posibilidades de ser condenado.

Uber dejó a sus clientes y socios sin ninguna información sobre la filtración durante todo un año. Este "secretismo" no solo le costó a Uber 148 millones en multas sino también, ante todo, privó a los clientes y conductores del derecho a tomar las medidas necesarias para protegerse contra la usurpación de identidad, el fraude y otros riesgos que han surgido como consecuencia del uso indebido de sus datos por parte de hackers.

Otros acusados pueden acabar en la cárcel, y eso incluye al Papa Francisco

Los acusadores dijeron que, de no ser por la "afortunada llegada" de el nuevo consejero delegado de Uber, Dara Khosrowshahi, en agosto de 2017, es probable que Sullivan hubiera podido encubrirlo. "Hay motivos para creer que las decenas de miles de víctimas de la filtración de 2016 nunca se habrían enterado", afirmaron.

Ellos exigieron que Sullivan pasara un tiempo en la cárcel, 15 meses para ser concretos. La eventual condena a libertad condicional puede parecer una bofetada en la cara a la luz de todo lo ocurrido, pero el juez William Orrick explicó que sólo obtuvo esta sentencia "más leve" porque fue el primer ejecutivo de seguridad de la historia condenado por ocultar y mentir sobre una filtración de datos. Advirtió que aquellos que no aprendan la lección y cometan el mismo delito pueden esperar un trato más duro. En sus palabras: "Si mañana tengo un caso similar, el acusado irá a la cárcel, aunque sea el Papa Francisco".

Para quienes no hayan seguido de cerca el caso o necesiten refrescar la memoria, a continuación se ofrece un breve resumen de los acontecimientos que condujeron a la condena de Sullivan.

Todo comenzó mal

Sullivan se incorporó a Uber como primer director de seguridad en abril de 2015 para ocuparse de los efectos de la filtración de 2014 que puso al descubierto los sistemas en línea de Uber. Es probable que la empresa apostara todas sus fichas a Sullivan por sus antecedentes como fiscal federal, empleado de PayPal y eBay y CSO de Facebook durante 5 años. Con la reputación de la empresa detonada tras la filtración de 2014, Uber esperaba que Sullivan ayudara a elevar las prácticas de seguridad y la imagen de la empresa.

Sin embargo, un año y medio después de asumir su nuevo cargo, Sullivan tuvo que enfrentarse a su propia crisis de seguridad. En noviembre de 2016, descubrió una nueva filtración que comprometía la información personal de millones de usuarios y conductores de Uber. El momento no pudo ser peor: el caso se produjo apenas 10 días después de que testificara ante la FTC sobre la primera filtración y las medidas de seguridad aplicadas desde entonces. En su testimonio, afirmó que Uber había cifrado los datos y eliminado las claves de las cuentas de Amazon Web Services de los repositorios de GitHub, algunas de las vulnerabilidades que provocaron la filtración de 2014.

Esto no es verdad. La filtración de 2016 se produjo "debido a las mismas prácticas de seguridad deficientes que condujeron a la filtración de datos de 2014", los investigadores descubrieron más tarde. Este hecho, según los fiscales, estaba claro para Sullivan "casi de inmediato", ya que es un oficial de seguridad con mucha experiencia. El problema es que Sullivan ya había descrito erróneamente las prácticas de encriptación de Uber y el alcance del acceso de los empleados a los datos en su testimonio ante la FTC, incluidas declaraciones realizadas bajo juramento. Por ejemplo, Sullivan mintió a la FTC sobre el hecho de que Uber dejó de almacenar información personal no cifrada en Amazon Web Services (la plataforma de computación en la nube de Amazon) después de marzo de 2015, cuando en realidad "la información personal no cifrada permaneció en AWS al menos hasta noviembre de 2016, cuando dos hackers robaron una enorme cantidad de datos".

Sullivan se enfrentó a una dura elección: admitir la reciente filtración ante los reguladores y arriesgar la reputación de la empresa, o esconderlo todo bajo la alfombra y esperar que nadie lo descubriera. Optó por lo segundo.

Encubrimiento: el dinero del rescate de datos se disfrazó de gratificación

Según el ex-abogado de Uber Craig Clark, que testificó contra Sullivan cuando se enteró del robo de los datos personales de los usuarios, Sullivan ideó un plan para ocultar la filtración como una "interacción estándar con investigadores de seguridad dentro del programa de recompensas por idenficación de fallos de Uber". Sin embargo, aunque el pago de Uber dentro de este programa de recompensas era de 10.000 dólares por identificar un problema crítico, Sullivan ofreció a los hackers, que seguían en el anonimato, la escalofriante cifra de 100.000 dólares exigida por ellos. A continuación, Sullivan llegó a un acuerdo con los hackers (que aún no habían revelado su verdadera identidad) para que firmaran un acuerdo de confidencialidad en el que se comprometían a no decir nada de lo sucedido.

En este punto, según el Departamento de Justicia de EE.UU., el antiguo jefe de seguridad de Uber ocultaba la verdad incluso al equipo jurídico de la empresa. Mientras Uber estaba en proceso de resolver la filtración de 2014 con la FTC, Sullivan no dijo nada sobre la nueva filtración a los propios abogados de Uber, sino que "ensalzó el trabajo realizado por él y su equipo para la seguridad de los datos". Sullivan, sin embargo, rebatió esta versión de los hechos durante el juicio, afirmando que el departamento jurídico de Uber y otros directivos estaban al tanto.

No se sabe si Travis Kalanick, CEO de Uber, lo sabía... Pero el hecho es que Kalanick no fue condenado por nada relacionado con la filtración de datos. Aun así, al sentenciar a Sullivan, el juez Orrick dijo que el ex-CEO era "tan culpable como" Sullivan.

La verdad sale a la luz

Dicen que la verdad siempre sale a la luz, y eso es cierto en el caso de Uber. Después de que Dara Khosrowshahi fuera nombrado nuevo CEO de Uber en agosto de 2017, Sullivan lo mantuvo en secreto durante algún tiempo todavía, dijeron los fiscales. Dijeron además que Sullivan envió un mensaje a Khosrowshahi diciendo que los hackers no habían tenido acceso a ningún dato y que habían sido identificados antes de que se realizara el pago.

Pero el mundo da la vuelta y en noviembre de 2017, Sullivan fue despedido y Uber reveló públicamente la filtración. En un comunicado al respecto, Khosrowshahi reconoció que los hackers "descargaron archivos" que contenían información de los usuarios y se disculpó por no haber notificado a los afectados. En el juicio de Sullivan, los hackers (ahora identificados) testificaron que efectivamente firmaron un acuerdo de no divulgación con Uber utilizando sus nombres falsos y mintieron sobre no haber almacenado ni descargado ningún dato.

Tras la dimisión de Sullivan, Uber contrató a un nuevo equipo de seguridad y se comprometió a hacer todo lo posible para evitar este tipo de incidentes en el futuro. Pero por mucho que cambiara sus prácticas, Uber siguió sufriendo varias filtraciones de datos desde 2016, incluso en septiembre de 2022, cuando fue víctima del grupo de hackers Lapsus$.

Las consecuencias: personales...

Para Sullivan, su salida no tan airosa de Uber no acabó con sus perspectivas profesionales. 6 meses después de ser despedido de Uber, Sullivan aceptó un trabajo como director de seguridad de Cloudflare. Se sacó una licencia de Cloudflare en julio de 2022 para prepararse para el juicio y, según su página de LinkedIn, dejó la empresa en octubre de ese mismo año, una vez que el jurado le declaró culpable de dos delitos relacionados con el encubrimiento.

En enero de 2023, Sullivan fue nombrado director general de Amigos de Ucrania, una organización humanitaria sin ánimos de lucro. En su sentencia, Sullivan reconoció sus errores en el manejo de la situación. "Debería haber luchado por la transparencia y procuro garantizarla en todas las situaciones desde entonces. He aprendido la lección", dijo.

…y para el sector

Este caso se ha convertido en un hito para el sector. En primer lugar, envía un mensaje claro de que encubrir filtraciones de datos es una de las peores prácticas posibles. Además, puede prevenir futuros casos (esperemos), demostrando que no merece la pena salvar la reputación de una empresa a costa de la seguridad de los usuarios.

Ante la posibilidad de pasar un tiempo en la cárcel, los jefes de seguridad y otros ejecutivos del sector se lo pensarían dos veces antes de encubrir filtraciones de datos, sobre todo cuando su propia negligencia puede haber contribuido a que se produzcan.

El desarrollo de este caso también demuestra que pagar rescates de datos a hackers es una decisión terrible que puede acabar como dispararse en el pie, sobre todo si hay negativa a identificarse por su parte.

Si los responsables de seguridad ignoran los riesgos puestos de manifiesto por este caso y repiten los mismos errores que el CSO de Uber, no tendrán a nadie a quien culpar más que a sí mismos cuando acaben entre rejas. Se les ha advertido. Pero ¿ha sido suficiente para que aprendan la lección? Lo veremos en el futuro.

¿Te gustó esta publicación?

AdGuard VPN
para Windows

Utiliza cualquier navegador o aplicación y nunca te preocupe por tu anonimato de nuevo. El mundo entero está a tu alcance con AdGuard VPN.
Más información
Descargar
Al descargar el programa, aceptas los términos del acuerdo de licencia

AdGuard VPN
para Mac

En solo dos clics, selecciona una ciudad de cualquier parte del mundo, tenemos 65+ ubicaciones, y tus datos son invisibles a las miradas indiscretas de empresas y gobiernos.
Más información
Descargar
Al descargar el programa, aceptas los términos del acuerdo de licencia

AdGuard VPN
para iOS

Refuerza tu protección en línea llevándola contigo a donde vayas. Utiliza AdGuard VPN para disfrutar de tus películas y programas favoritos.
Más información
App Store
Al descargar el programa, aceptas los términos del acuerdo de licencia

AdGuard VPN
para Android

¡Mantén el anonimato allá donde vayas con AdGuard VPN! Docenas de ubicaciones, conexión rápida y confiable, todo en tu bolsillo.
Más información
Google Play
Al descargar el programa, aceptas los términos del acuerdo de licencia
Descargar
Al descargar el programa, aceptas los términos del acuerdo de licencia

AdGuard VPN
para Chrome

Oculta tu verdadera ubicación y emerge desde otro lugar del mundo: accede a cualquier contenido sin límites de velocidad y mantén tu anonimato en la red.
Más información
Instalar
Al descargar el programa, aceptas los términos del acuerdo de licencia

AdGuard VPN
para Edge

Ve a otra ubicación con un solo clic, oculta tu IP y haz que tu navegación por Internet sea segura y anónima.
Más información
Instalar
Al descargar el programa, aceptas los términos del acuerdo de licencia

AdGuard VPN
para Firefox

Protege tu privacidad, oculta tu ubicación real y elige dónde necesitas la VPN y dónde no.
Más información
Instalar
Al descargar el programa, aceptas los términos del acuerdo de licencia

AdGuard VPN
para Opera

Sé un ninja en tu navegador Opera: muévete rápidamente a cualquier parte del mundo y pasa desapercibido.
Más información
Instalar
Al descargar el programa, aceptas los términos del acuerdo de licencia
La descarga de AdGuard VPN
ha comenzado
Haz clic en el botón indicado por la flecha para iniciar la instalación.
Escanear para instalar AdGuard VPN en su dispositivo móvil