Ataque a Uber: los expertos en seguridad analizan el caso

Uber, que es famosa por ser la startup más valiosa del mundo, reconoció públicamente hace unas horas que hace un año sufrió un ataque informático que afectó a más de 57 millones de cuentas: de estos, siete millones de conductores y 50 millones de pasajeros, de todo el mundo. Joe Sullivan, quien era el responsable de seguridad de la firma ha sido despedido, por el grave error y por haber mantenido oculto el robo.

Un asunto que resulta casi aún más alarmante que el hecho de que casi 60 millones de personas hayan visto comprometida su información personal  y de que la firma lo mantuviera escondido durante 12 largos meses, es que la empresa pagase a los atacantes: concretamente, Uber abonó a los hackers 100.000 dólares para que borrasen la información robada, tal y como publicó Bloomberg, el primer medio en desvelar lo ocurrido.

Uber publicó que, como parte del robo, los hackers se hicieron con correos electrónicos, nombres completos, números de teléfono y licencias de conducir de más de 600.000 conductores, pero según los voceros de la firma con sede en San Francisco, no se vieron comprometidas las contraseñas de los usuarios afectados y tampoco sus informaciones financieras. No hay que olvidar que Uber tiene los datos de las tarjetas de todos los usuarios, ya que el pago se realiza automáticamente desde la App al concluir un servicio de transporte.

Parece ser que el gran error que la firma cometió fue el de no cifrar la información de los usuarios, por lo que los hackers sólo tenían que acceder a las credenciales de Amazon Web Services , donde la empresa tiene contratado su almacenamiento para hacer funcionar la aplicación, para poder obtener la información. El ataque se hizo a través de GitHub, una herramienta de programación, que usan los desarrolladores de Uber y se usaron claves de empleados.

Tras conocerse el ciberataque de Uber con el que al menos 57 millones de cuentas y los datos de los usuarios estuvieron completamente a disposición de los hackers, diversas empresas de seguridad han analizado la situación y nos dicen por qué es tan peligroso que se realizase ese pago.

Kaspersky Lab

Por un lado, David Emm, analista principal de seguridad de Kaspersky Lab ha explicado que “las consecuencias derivadas de la brecha de datos a gran escala de Uber ponen de relieve la importancia y la necesidad de transparencia y responsabilidad en las empresas.

En los últimos años, se han conocido varias brechas de seguridad en empresas con posterioridad al incidente, y este retraso en la comunicación  es de poca ayuda para los clientes afectados, poniendo de manifiesto la necesidad de establecer una normativa”.  Además, recuerda, que “los usuarios que confíen información privada a empresas deben estar seguros de que se van a guardar de forma segura. Cuando se produce una brecha como ésta, recuperar y reconstruir  la confianza de los clientes es proceso largo en el tiempo”.

Sobre el hecho de que la startup pagó 100.000 dólares por borrar la información de los perfiles expuestos, los expertos de Kaspersky se muestran en total desacuerdo con la decisión ya que, dicen, esto establece “un peligroso precedente que incentiva aún más a los ciberdelincuentes”. Cabe mencionar aquí que los ejecutivos de Uber también hicieron parecer que el pago había sido parte de una “recompensa por errores”, una práctica, según The New York Times, común entre las compañías de tecnología en la que se le paga a los piratas informáticos para que ataquen su software con el fin de detectar puntos débiles.

Trend Micro

Para Rik Ferguson, vicepresidente de investigación de seguridad de Trend Micro : “no hay duda de que el antiguo equipo de administración y seguridad de Uber no asumió la responsabilidad con sus conductores, con los reguladores, con la justicia y, sobre todo, con sus clientes, y esto es una lista demasiado larga”.

Y, sobre el pago, explica el experto que  “aunque algunos de los responsables pueden haber sido silenciados por sus atacantes, el robo digital no funciona de la misma manera que en el mundo físico, pues nunca se pueden ‘volver a recomprar los negativos’ una vez que los datos han sido robados”.

Sin embargo, para Trend Micro sí resulta positivo que el nuevo equipo de gestión aclare la brecha y quiera ser transparente, aunque Rik Ferguson asegura que le preocupan algunas de las palabras que aparecen en el blog de Khosrowshahi. Por ejemplo que parezca “que separa la “infraestructura y sistemas corporativos” de Uber del “servicio de terceros basado en la nube” que fue el objetivo de la brecha. Quizás, esto es un indicativo de la raíz del problema. Los servicios cloud adoptados por una empresa son sistemas corporativos e infraestructura y desde la perspectiva de la seguridad deben ser tratados como tales”.

Sophos Iberia

Ricardo Maté, director general de Sophos Iberia, que este caso es “una muestra más de que es necesario tomarse la ciberseguridad en serio y que nunca se debe incrustar o implementar tokens de acceso (generadores de claves) o claves en repositorios de códigos fuente”. Por lo general, recuerda el experto que este tipo de maniobras no son descubiertas mientras las empresas quieren mantenerlas en secreto, como en el caso de Uber que pagó a los ciberdelincuentes 100.000 dólares para que ocultaran la brecha de seguridad. Y añade que este caso “nos hace ver que hoy en día muchos equipos de desarrolladores no tienen un alto estándar de las prácticas de seguridad y que ha compartido credenciales”. Lamentablemente, estas prácticas son más comunes de lo deseable en entornos de desarrollo ágil.

De acuerdo con Maté, Uber no es la única ni será la última compañía en ocultar una filtración de datos o un ciberataque. No notificar a los consumidores los expone a un mayor riesgo de ser víctimas de fraude. Es por esta razón que muchos países están impulsando una regulación que obligue a las empresas a divulgar las brechas de seguridad.

Además, para aquellos clientes y conductores de Uber que han sido afectados por la brecha de seguridad, Sophos recomienda que comprueben sus cuentas bancarias y mantengan los ojos bien abiertos para no ser víctimas de un robo.

¿Y qué pasa ahora?

Recuerdan desde Kaspersky que “bajo el nuevo liderazgo de Dara Khosrowshahi como consejero delegado, la empresa ha optado ahora por reconocer el error y asegura que nadie ha hecho uso de esos datos”. El directivo ha amitido que “esto no tendría que haber ocurrido. No hay excusas. Estamos cambiando nuestra forma trabajar” y ha reconocido que tendrían que haber avisado a las autoridades en lugar de ocultar la fuga.

“No podemos borrar el pasado, pero sí puedo comprometerme a aprender de los errores“, zanjó en un comunicado la persona que se contrató tras apartar a Travis Kalanick, creador de la app y quien fuera directivo de una empresa muy cotizada en bolsa y también muy polémica en diferentes aspectos.

Lea aquí el reportajeUber o los escándalos de la compañía con más valor del mercado