La brecha de seguridad de Uber pone en riesgo la inversión de 10.000 millones de Softbank
La compañía oculta un ciberataque ocurrido hace un año, que afecta a 58 millones de clientes y conductores. Verizon rebajó el precio pagado por Yahoo por un caso similar
Uber parece vivir en una crisis permanente, y la última –una grave brecha de seguridad– podría salirle muy cara. La compañía admitió este martes haber sufrido un ciberataque que ha afectado a 57 millones de clientes y conductores. Pero no solo eso: desveló que el ciberataque tuvo lugar hace un año, que se había ocultado el hecho deliberadamente y que pagó 100.000 dólares (85.106 euros) a los ciberdelincuentes para que eliminaran los datos robados y guardaran silencio sobre el asunto.
El escándalo ha sido mayúsculo y, como apunta la BBC, podría amenazar no solo la frágil tregua alcanzada entre el polémico expresidente ejecutivo de Uber, Travis Kalanick, y uno de los principales accionistas de la compañía, Benchmark, sino que podría ponerse en peligro la inversión anunciada por un consorcio liderado por Softbank en la compañía estadounidense. Medios internacionales aseguran que el grupo japonés podría reconsiderar su decisión de inyectar 10.000 millones de dólares en Uber, una inversión fundamental para la compañía, que busca mejorar su gobierno corporativo tras varias investigaciones, una muy dura por acoso sexual en la empresa que se saldó con el despido de 20 empleados.
Rajeev Misra, un director de la junta directiva de Softbank, ha descrito el progreso del acuerdo con Uber como “largo y duro”, según informó la cadena británica, que advierte que este último problema puede complicar todo el proceso, pues podría generar problemas legales a la empresa de transporte por encubrir el ataque.
Quizás por ello, el nuevo consejero delegado de Uber, Dara Khosrowshahi, en el cargo desde el pasado septiembre, ha preferido reconocer el error y ha admitido que la compañía necesita ser abierta y honesta si quiere reparar sus errores del pasado. “Esto no debería de haber ocurrido. No hay excusas. y deberíamos haber avisado a las autoridades en lugar de ocultar la fuga de datos. No podemos borrar el pasado, pero sí comprometerme a aprender de los errores”, señaló. El directivo añadió igualmente que la empresa está “cambiando su forma de trabajar”.
El antecedente de Yahoo
Softbank no sería, en cualquier caso, la primera empresa que se cuestiona una operación como consecuencia de un ciberataque. Verizon también cerró la compra de Yahoo el pasado febrero con una rebaja en el precio de 332 millones. En ese caso, ambas compañías decidieron dividir los costes relacionados con el robo de datos que había sufrido Yahoo para cerrar la adquisición. En el ataque a Yahoo se comprometió la seguridad de más de 1.500 millones de cuentas de sus usuarios.
Entre los datos robados a Uber están las matrículas de algunos de los conductores y datos personales como nombres, direcciones de correo electrónico y números de teléfono. La firma informó que el incidente ha costado el puesto al jefe de seguridad de Uber, Joe Sullivan.
Esta acción y la buena voluntad actual de la compañía por corregir ciertas prácticas no ha impedido que la oficina del fiscal general de Nueva York y algunas autoridades de protección de datos como la del Reino Unido hayan decidido abrir investigaciones sobre el caso pues creen que este plantea “grandes preocupaciones” en torno a las políticas y ética de protección de datos de Uber.
Pese a las dudas sobre qué hará SoftBank, su inversión en Uber (que le daría en torno al 14% de esta compañía) podría seguir adelante dado el interés que el grupo japonés está mostrando por el negocio del ridehailing. Este miércoles, de hecho, se ha conocido que la firma japonesa quiere comprar una participación adicional del 10-12% en Ola, el rival indio de Uber.
Malas prácticas y nueva normativa
La empresa de seguridad Kaspersky criticó que el retraso en la comunicación del ciberataque por parte de Uber es de “poca ayuda” para las personas afectadas, y advirtió que, tras un caso de este tipo, “reconstruir la confianza de los clientes es un proceso largo en el tiempo”. Desde Sophos recordaron cómo el nuevo Reglamento General de Protección de Datos, que entrará en vigor en mayo de 2018, castigará duramente este tipo de prácticas, por lo que confían en que las empresas tomen más medidas para proteger los datos de los clientes.
Trend Micro advirtió igualmente que los servicios cloud adoptados por una empresa (y que sirvieron para atacar a Uber) deben ser tratados desde la perspectiva de seguridad como sistemas corporativos e de infraestructura propios. Y es que el ataque a Uber se hizo a través de GitHub, una herramienta de programación que utilizan los desarrolladores de la compañía, y se usaron claves de empleados, obtenidas entrando en la nube de Amazon, donde la empresa tiene contratado su almacenamiento para operar la aplicación. “Es alentador ver al nuevo equipo de gestión aclarar la brecha y que quiera ser transparente, pero sigo preocupado por algunas de las palabras que aparecen en el blog del señor Khosrowshahi. Parece que separa la infraestructura y sistemas corporativos de Uber del servicio de terceros basado en la nube que fue el objetivo de la brecha”, insistió Rik Ferguson, vicepresidente de investigación de seguridad de Trend Micro.
Los expertos de Sophos también destacaron que el caso de Uber “nos hace ver que hoy en día muchos equipos de desarrolladores no tienen un alto estándar de las prácticas de seguridad, y que han compartido credenciales. Lamentablemente, estas prácticas son más comunes de lo deseable en entornos de desarrollo ágil”.
Newsletters
Sobre la firma