Uber ocultó un hackeo masivo que afectó a 57 millones de usuarios

Uber ocultó un hackeo masivo que afectó a 57 millones de usuarios

Dara Khosrowshahi, consejero delegado de Uber acaba de reconocer que la empresa  fue víctima de un hackeo masivo, hecho ocultado por la compañía durante un año. Khosrowshahi, que asumió el cargo en agosto, desveló el incidente y cómo ocurrió, aunque sin precisar las razones por las que la firma decidió esconder lo sucedido.  Según indicó, dos individuos externos accedieron a los datos almacenados por Uber y descargaron información de 57 millones de usuarios, entre ellos, 600.000 conductores en Estados Unidos.

Con este ataque los hackers obtuvieron nombres y números de licencia de los conductores, además de   nombres, correos y números de celular de las personas que utilizaron el servicio, pero en todas partes del mundo. No obstante la compañía asegura que sus expertos “no vieron ninguna indicación” de que también se descargaran números de tarjeta de crédito, cuentas bancarias, números de la seguridad social, historiales de viajes o fechas de nacimiento.

Travis Kalanick co-fundador y ex-CEO de Uber
Travis Kalanick co-fundador y ex-CEO de Uber

Descubierto el robo, Uber dio pasos para proteger sus datos y cerrar el acceso a los hackers. “Identificamos posteriormente a los individuos y obtuvimos garantías de que la información descargada se había eliminado”, precisa el comunicado, sin dar más detalles. Aunque agrega que el anterior consejero delegado Travis Kalanick sabía lo de la sustracción de datos hace alrededor de un año. Se preguntarán por qué estamos hablando de esto ahora, un año después. Yo tuve la misma pregunta, así que inmediatamente pedí una profunda investigación de lo que ocurrió y cómo lo gestionamos”, afirmó el consejero delegado.

Aunque Uber ha creado una página para atender a los conductores afectados y asegura que establecerá un sistema de protección de la identidad para sus conductores sin coste alguno, el comunicado no especifica si tomarán medidas similares con los clientes.

Pero el tema se complicó cuando Bloomberg – el primer medio en desvelar lo ocurrido – informó que Uber pagó a los hackers 100.000 dólares para que borrasen la información robada, disfrazando la cantidad de una “recompensa” por “descubrir un agujero en la seguridad”. Estas recompensas son habituales entre las grandes empresas tecnológicas y funcionan como un incentivo para que los hackers comuniquen a las compañías los fallos de seguridad que han pasado desapercibidos en vez de venderlos al mejor postor en diferentes foros de seguridad. Las compañías pueden trabajar así en un parche que solucione el problema antes de hacerlo público.

Pero la excusa esta vez no coló, ya que Uber, en cualquier caso, no contaba con uno de estos programas de recompensas en el momento del ataque, pese a que está obligada a publicar vulnerabilidades de seguridad ante los organismos estadounidenses de protección de datos, jamás reportó el suceso.

La empresa debía haber comunicado el incidente a las autoridades competentes, pero no lo hizo hasta ahora y no es la primera vez que esconde una situación similar. En enero, fue multada con 20.000 dólares por no informar sobre un robo similar -aunque menor- ocurrido en 2014. La ocultación del ciberataque es uno de los últimos escándalos de la época de Travis Kalanick como consejero ejecutivo de Uber.

El hackeo y sobre todo la ocultación del mismo se suma a otros escándalos que han sacudido a la empresa en tiempos recientes y en cuyo centro se encontraba el anterior consejero delegado, Travis Kalanick, quien dimitió a mediados de este año entre presiones de los inversores. Sin embargo y pese a su salida como consejero delegado, Kalanick aún mantiene poder de decisión como cofundador de la empresa, pues continúa en la junta directiva.

Al conocerse el ciberataque de Uber,  David Emm, analista principal de seguridad de Kaspersky Lab hizo unas interesantes y clarificadoras declaraciones al respecto:

David Emm, analista principal de seguridad de Kaspersky Lab
David Emm, analista principal de seguridad de Kaspersky Lab

“Las consecuencias derivadas de la brecha de datos a gran escala de Uber ponen de relieve la importancia y la necesidad de transparencia y responsabilidad en las empresas. En los últimos años, se han conocido varias brechas de seguridad en empresas con posterioridad al incidente, y este retraso en la comunicación  es de poca ayuda para los clientes afectados, poniendo de manifiesto la necesidad de establecer una normativa. Es de esperar que el GDPR (Reglamento General de Protección de Datos), que entra en vigor en mayo de 2018, motive a las empresas a que, en primer lugar, tomen medidas para proteger los datos de los clientes, y en segundo lugar, a que notifiquen a la ICO (Oficina del Comisionado de Información) las infracciones en un tiempo adecuado”.

Los usuarios que confíen información privada a empresas deben estar seguros de que se van a guardar de forma segura. Cuando se produce una brecha como ésta, recuperar y reconstruir  la confianza de los clientes es proceso largo en el tiempo.

Al pagar dinero a los ciberdelincuentes Uber está estableciendo un peligroso precedente que incentiva aún más a los ciberdelincuentes. Con el GDPR las multas aumentarán hasta el 4% de la facturación anual y es posible que veamos más casos de ciberdelincuentes chantajeando a las empresas si el pago solicitado es considerablemente menor que la multa a la que tendrían que enfrentarse si reportan el incidente”.

Hay que tener en cuenta que los vehículos modernos ya no son sólo vehículos electromecánicos. Con cada generación, se vuelven más conectados a la red e incorporan más tecnologías que los hacen más inteligentes, más eficientes, cómodos y seguros. El mercado de vehículos conectados está creciendo con un índice compuesto de crecimiento anual de cinco años del 45%; 10 veces más rápido que el mercado automotriz en su totalidad.

Uber ocultó un hackeo masivo que afectó a 57 millones de usuarios

Sobre la urgente necesidad de implementar políticas de seguridad en este relativamente nuevo terreno para los hackers, Kaspersky advierte en su detallado informe Kaspersky Lab Threat Predictions for 2018 que la ciberdelincuencia irá cada vez a más en la industria automotriz. El diagnóstico remoto de vulnerabilidades, la telemática y el entretenimiento con información mejoran de manera significativa la seguridad y el disfrute del conductor, pero también presentan nuevos desafíos para el sector automotriz, ya que convierten a los vehículos en objetivos perfectos para ciberataques. El riesgo creciente de que los sistemas de un vehículo resulten infiltrados o que se violen elementos de su seguridad, privacidad y economía, requiere que los fabricantes comprendan y apliquen seguridad informática. En los últimos años se ha visto una gran cantidad de ejemplos que resaltan las vulnerabilidades de los vehículos conectados.

Gartner estima que habrá aproximadamente 250.000.000 vehículos conectados en las rutas para 2020. Otros sugieren que para ese entonces, alrededor del 98% de los vehículos estarán conectados a Internet. Las amenazas que enfrentamos ahora y las que esperamos enfrentar en el año próximo no deberían verse de manera aislada: son parte de esta continuidad. Mientras más vehículos estén conectados, y mientras mayor sean la forma en que lo hagan, mayores serán las posibilidades y oportunidades para atacar.

DATOS PARA UN INFORME

Las amenazas que se enfrenta el sector automotriz en los próximos 12 meses incluyen:

Vulnerabilidades debidas a la falta de atención o experiencia de los fabricantes, agravadas por presiones competitivas. La cantidad de servicios para automóviles conectados seguirá aumentando, así como la cantidad de proveedores que los desarrollan y suministran. Este suministro en constante crecimiento (y la posibilidad de

que los productos/proveedores tengan una calidad dudosa), junto con un mercado ferozmente competitivo, podría llevar a fallas en la seguridad que facilitan el acceso de los ciberatacantes.

Vulnerabilidades debidas a la complejidad creciente de productos y servicios. Los fabricantes que trabajan para el sector automotriz se centran cada vez más en brindar varios servicios interconectados a los clientes. Cada punto de encuentro es una posible debilidad que los atacantes no tardarán en aprovechar.

Un atacante solo necesita encontrar un sector inseguro, ya sea periférico como el Bluetooth de un teléfono o un sistema de descarga de música, para tomar el control de los componentes eléctricos críticos para la seguridad, como los frenos o el motor

Ningún código de programa está libre de errores en un 100%; y donde existen errores pueden existir fallos aprovechables. Los vehículos tienen más de 100 millones de líneas de código. Esto en sí mismo representa un vasto campo de ataque para los ciberdelincuentes.

A medida que se instalen más elementos conectados en los vehículos, el volumen del código se disparará, aumentando así el riesgo de errores. Algunos fabricantes automotrices, incluido Tesla, han introducido programas de recompensas que incentivan a encontrar errores específicos para abordar este problema.

El software escrito por distintos desarrolladores, instalado por distintos proveedores y, generalmente, gestionado en distintas plataformas de administración, hace que nadie pueda ver ni controlar todo el código fuente de un vehículo. Esto podría ayudar a los atacantes a evadir la detección.

 

Fuente: Boletín de seguridad Kaspersky. Predicciones sobre amenazas para el 2018 que está disponible de forma gratuita, después del registro, en nuestra sección de “Informes”

 

Dejar respuesta

Please enter your comment!
Please enter your name here

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.