Lectura 4:00 min
¿Cuánto pagará Uber en México por el hackeo de datos personales?
En 2016 un grupo de hackers accedió a los sistemas tecnológicos de Uber y robó datos personales de 57 millones de sus clientes y conductores. Uber —una compañía que ofrece servicios de transporte a través de un software instalado en teléfonos móviles— ocultó este incidente de ciberseguridad durante un año. Entre los afectados hubo casi 1 millón de mexicanos, se supo en marzo de 2018.
Los hackers robaron nombres, correos electrónicos y números telefónicos. 25.6 millones de las cuentas hackeadas pertenecían a usuarios en Estados Unidos. Los números de las licencias de conducir de 600,000 conductores estadounidenses también fueron robados. Uber dijo que pagó 100,000 dólares a los hackers para que borraran la información sustraída. Ajá.
El incidente provocó investigaciones judiciales contra Uber en todo Estados Unidos. “Al fallar en la protección de información personal y sensible —a pesar de que es su obligación legal hacerlo— y al ocultar la brecha de seguridad por más de un año —a pesar de que es su obligación legal informar sobre este tipo de incidencias— Uber expuso de manera deliberada e intencional a los ciudadanos de Chicago y de Illinois al robo de identidad y al fraude financiero, a estafas relacionadas con la devolución de impuestos y a otros daños potenciales”, se lee en la demanda del Ayuntamiento de Chicago contra Uber.
Uber tiene en México 8 millones de usuarios activos y más de 250,000 socios conductores en 43 ciudades de 23 estados. Hace un par de años presumió que México representaba su tercera mayor operación global. La Procuraduría General de la República (PGR) informó en marzo que colaboraba con Uber para “buscar” que “los datos plagiados no pongan en riesgo la integridad ni el patrimonio de los usuarios”. Aseguró que a través de la Agencia de Investigación Criminal (AIC) y su Unidad de Investigaciones Cibernéticas y Operaciones Tecnológicas (UICOT) “trabaja en prevenir que la información filtrada llegue a internet, particularmente al mercado negro en la Deep y Dark Web”. (¿En qué quedamos: se puede confiar en que los hackers retribuidos por Uber borraron la información?).
La autoridad de protección de datos personales de México, el Inai, informó a través de una solicitud de acceso a la información en enero de 2018 que había recibido una denuncia relacionada con el incidente, “la cual derivó en una orientación”. Antes había dicho que pediría información a Uber “que permita conocer cuántos usuarios, choferes y empleados mexicanos fueron afectados, así como las medidas implementadas para evitar vulneraciones futuras y, en su caso, mitigar los daños de la ocurrida en 2016”. Y ya.
El 26 de septiembre pasado se informó que Uber llegó a un acuerdo en Estados Unidos para pagar 148 millones de dólares y detener las investigaciones en su contra. Uber se comprometió a implementar medidas para reducir la posibilidad de ataques cibernéticos que pongan en riesgo la información personal de sus consumidores. También se comprometió a adoptar mecanismos de transparencia: cada tres meses entregará un reporte a las autoridades sobre incidentes de ciberseguridad durante los próximos dos años.
“La decisión de Uber de encubrir esta brecha de seguridad fue una flagrante violación de la confianza de los consumidores. (...) En coincidencia con su cultura corporativa de ese momento, Uber ocultó la brecha de seguridad bajo la alfombra en una deliberada falta de respeto a la ley”, dijo en un comunicado el fiscal general de California, Xavier Becerra.
¿Uber será sancionado en México por esta filtración de datos personales de sus consumidores? ¿Llegará a un acuerdo económico como apercibimiento por su negligencia y el ocultamiento del incidente? Apuesto que no. Aunque deseo equivocarme.