Lectura 5:00 min
La ciberseguridad hace guardar silencio a las empresas
No es la primera vez que una empresa involucrada con las tecnologías de la información mantiene oculta información sobre brechas, vulneraciones o ataques en línea.
A las empresas les gustan los secretos. La vulneración difundida por Uber -casi a manera de confesión- el martes 21 de noviembre, fue descubierta, según un comunicado firmado por Dara Khosrowshahi, director a nivel global de la compañía, “a finales del 2016”. El incidente se hizo del conocimiento público un año y un mes después de que 57 millones de nombres, direcciones de email y números de teléfono móvil de conductores y usuarios de todo el mundo fueran descargados de uno de sus servidores externos en suelo holandés.
No es la primera vez que una empresa involucrada con las tecnologías de la información mantiene oculta información sobre brechas, vulneraciones o ataques en línea. Este tipo de eventos se ha vuelto recurrente entre las compañías. Ahí está el caso de Deloitte, que ocultó información (https://www.eleconomista.com.mx/opinion/Lecciones-del-hackeo-a-la-consultora-Deloitte-20171007-0008.html) acerca de una plataforma de correo electrónico alojada en un sistema de nube, con direcciones de ejecutivos y personal de la compañía, comprometida entre noviembre del 2016 y marzo del 2017. Fue el periódico inglés The Guardian el que dio a conocer el hecho el 25 de septiembre, más de seis meses después de que la vulneración fuera encontrada.
Ni las autoridades ni los usuarios y socios de Uber sabían tampoco, hasta el martes pasado, que la compañía le pagó, en noviembre del 2016, 100,000 dólares a quienes robaron la información para que la destruyeran y que ésta no pudiera ser usada de manera errónea. De acuerdo con la compañía, los atacantes le dieron garantías de que “los datos descargados habían sido destruidos”.
¿Cuáles fueron estas garantías? ¿Cómo demostraron los atacantes que no había más versiones en otros servidores, en discos duros personales o en una memoria usb? Creer que esta información no pudo ser reproducida, compartida o almacenada hace dudar de quienes se encargaron de reaccionar a este incidente y hace también preguntarse a las personas afectadas acerca de si su información no acabó siendo vendida al mejor postor o se encuentra almacenada en un vertedero de datos alojado en la deep web.
Uber afirma que los usuarios no deben realizar ninguna acción (https://www.eleconomista.com.mx/tecnologia/Uber-Mexico-no-puede-dar-detalles-sobre-robo-de-datos-20171122-0102.html). No hay nada de qué preocuparse. Para la compañía no es necesario que los usuarios le requieran información sobre el estatus de los datos ni que acudan con las autoridades para levantar quejas por la violación a su derecho a la protección de datos personales, como ha ocurrido en casos como el de Yahoo, cuya vulneración afectó a prácticamente todas las cuentas de sus usuarios, lo que le ha costado, incluso después de su compra por parte de Verizon, enfrentar demandas colectivas y afrontar las consecuentes pérdidas.
Yahoo es un buen ejemplo del secretismo al que se han acostumbrado las compañías cuyo negocio está basado en la conectividad de la red. Como en una película de suspenso eterna, las revelaciones de información sobre el hackeo a la compañía duraron casi tres años. En 2013 se anunció que 500 millones de cuentas habían sido comprometidas; para el 2016 la compañía reconoció un segundo robo de información que sumó 1,000 millones de cuentas más a la lista y, en octubre pasado, el número total de cuentas robadas ascendió a los 3,000 millones, que conforman toda la base de datos de la compañía.
El problema de la secrecía se vuelve mayúsculo cuando los datos extraídos en un vulneración incluyen información que puede poner en peligro la estabilidad financiera e incluso la identidad de una persona, como sucedió con la vulneración que sufrió la agencia Equifax, en la que cientos de miles de números de tarjetas de crédito y de seguridad social fueron comprometidos.
"La única forma en que uno puede tener responsabilidad directa bajo los estatutos de notificación de violación de seguridad es no dar aviso. Por lo tanto, tiene poco sentido encubrir una violación ", dijo Chris Hoofnagle del Centro de Derecho y Tecnología de Berkeley entrevistado para un artículo de The Guardian al respecto de la vulneración a Uber.
Hasta el momento, no se sabe si es que hay cuentas de usuarios mexicanos o de cualquier otra nacionalidad que no sean los 600,000 conductores estadounidenses cuyo nombre y número licencia resultaron comprometidos. Tampoco sabemos si efectivamente los atacantes destruyeron la información apenas recibieron los 100,000 dólares que les entregó la compañía.
Lo único que sabemos es que a las empresas como Uber les toma una buena cantidad de tiempo hacer públicos los robos de información que sufren y que este tiempo puede ser muy valioso para la tranquilidad de sus usuarios y para la suya también.