La plataforma de transporte compartido Uber ha reconocido que la compañía ha mantenido en secreto una filtración cibernética que en 2016 afectó a los datos personales de 57 millones de sus usuarios y conductores en todo el mundo
En un comunicado de prensa, el consejero delegado de Uber, Dara Khosrowshahi, que llegó al cargo el pasado agosto, ha mostrado su predisposición a ser «honestos» y «transparentes» y a «trabajar para reparar errores pasados».
Khosrowshahi ha reconocido que dos individuos ajenos a la empresa accedieron a las bases de datos de Uber y fueron capaces de descargar información de 57 millones de usuarios de Uber en todo el mundo, incluyendo sus nombres, direcciones de correo electrónico y números de teléfono.
Dentro de esa cantidad figuraron, además, 600.000 conductores de Uber en Estados Unidos, cuyos números de carné de conducir, la forma de identificación más habitual en este país, también fueron robados por los «hackers».
Según informa Efe Dow Jones, Uber pagó 100.000 dólares a los «hackers» para que eliminaran los datos obtenidos y mantuvieran silencio sobre lo ocurrido, pago que no se ha desvelado quien lo autorizó.
Khosrowshahi ha reconocido que dos de los empleados que lideraron la respuesta al ataque cibernético ya no están en la compañía, y ha afirmado que Uber ya ha notificado el incidente a las autoridades reguladoras.
Según Efe Dow Jones, Uber ha despedido a su director de seguridad, Joe Sullivan, y al subdirector de esa división, Craig Clark, por su gestión de la crisis.
«Nada de esto debería haber pasado y no voy a poner excusas por ello. A pesar de que no puedo borrar el pasado, me puedo comprometer en nombre de cada empleado de Uber que aprenderemos de nuestros errores», ha dicho Khosrowshahi.
Tras conocerse el ciberataque de Uber con el que al menos 57 millones de cuentas y los datos de los usuarios estuvieron completamente a disposición de los hackers, David Emm, analista principal de seguridad de Kaspersky Lab ha hecho unas declaraciones al respecto:
“Las consecuencias derivadas de la brecha de datos a gran escala de Uber ponen de relieve la importancia y la necesidad de transparencia y responsabilidad en las empresas. En los últimos años, se han conocido varias brechas de seguridad en empresas con posterioridad al incidente, y este retraso en la comunicación es de poca ayuda para los clientes afectados, poniendo de manifiesto la necesidad de establecer una normativa. Es de esperar que el GDPR (Reglamento General de Protección de Datos), que entra en vigor en mayo de 2018, motive a las empresas a que, en primer lugar, tomen medidas para proteger los datos de los clientes, y en segundo lugar, a que notifiquen a la ICO (Oficina del Comisionado de Información) las infracciones en un tiempo adecuado.
Los usuarios que confíen información privada a empresas deben estar seguros de que se van a guardar de forma segura. Cuando se produce una brecha como ésta, recuperar y reconstruir la confianza de los clientes es proceso largo en el tiempo.
Al pagar dinero a los ciberdelincuentes Uber está estableciendo un peligroso precedente que incentiva aún más a los ciberdelincuentes. Con el GDPR las multas aumentarán hasta el 4% de la facturación anual y es posible que veamos más casos de ciberdelincuentes chantajeando a las empresas si el pago solicitado es considerablemente menor que la multa a la que tendrían que enfrentarse si reportan el incidente”.