Se siguen descubriendo trapos sucios de Uber. La compañía de VTC lleva un par de semanas muy malas, al verse obligada a confirmar las malas prácticas que llevó a cabo, especialmente durante los inicios de su andadura en el mercado.
[Los móviles de Google te permitirán seguir tu próximo Uber sin entrar en la app]
No hace mucho se reveló que Uber había usado una app falsa para esquivar la atención de la policía en Madrid, gracias a unos correos y documentos filtrados como parte de los ‘Uber Files’; algo que obligó a la compañía a renegar de su fundador y por aquel entonces CEO, Travis Kalanick.
Por eso, la última revelación duele un poco más, porque los hechos ocurrieron en el año 2016, el último año de Kalanick al cargo y justo antes de que abandonase su puesto por los escándalos de abuso sexual en la compañía. Uber tiene que volver a repasar su pasado más oscuro, en esta ocasión por una filtración de datos que fue ocultada deliberadamente.
Filtración de datos en Uber
En noviembre de 2016, unos atacantes consiguieron entrar en un repositorio de código fuente de Uber, gracias al uso de unas credenciales robadas a un empleado de la compañía. De esta manera, los hackers pudieron hacerse con una ‘llave maestra’, una clave de acceso que les permitió entrar en los servidores de datos de la compañía para hacer una copia.
En total, los atacantes obtuvieron los datos de 57 millones de cuentas de usuarios de todo el mundo; de estos registros, unos 600.000 incluían datos como la matrícula del coche de los conductores. También se incluían nombres, direcciones de correo electrónico y números de teléfono. Esta fue la mayor filtración de la historia de la compañía, y podría haber puesto en peligro a usuarios y conductores. Sin embargo, eso no fue lo peor.
Sufrir un ataque hacker por una vulnerabilidad es malo, pero lo verdaderamente importante es cómo se reacciona, y Uber dio los pasos que todos los expertos en seguridad advierten que no se deberían dar. Para empezar, la compañía mantuvo el ataque en secreto, haciendo como si no hubiese pasado nada de puertas para afuera; mientras que de puertas para adentro intentaba negociar con los atacantes para contener el efecto de la filtración.
Supuestamente, Uber habría pagado un ‘rescate’ de 100.000 dólares a los atacantes para que borrasen los datos obtenidos, y para que no contactasen con los medios de comunicación o los reguladores. De ser cierto, Uber cometió un grave error, ya que los expertos afirman que pagar a los ‘secuestradores de datos’ sólo fomenta que se realicen más ataques, y no garantiza que los datos realmente se vayan a borrar.
Uber zanja el tema
No fue hasta un año después, ya con el nuevo CEO Dara Khosrowshahi al frente, que Uber hizo público el ataque, admitiendo que no debería haberlo ocultado. Esa es la clave para que Uber se haya salvado de una dura multa de la FTC (Comisión Federal de Comercio) en los Estados Unidos.
Como parte de un acuerdo extrajudicial, Uber ha tenido que admitir a la Comisión que no informó sobre el ataque, pese a que en aquellos momentos estaba siendo objeto de una investigación de seguridad por la FTC. Además, la FTC reconoce que Uber pagó 148 millones de dólares para cerrar las demandas civiles que generó la filtración.
La buena noticia para Uber es que esto deja por zanjado el tema, y puede centrarse en mejorar su imagen y funcionamiento interno, apagando los fuegos que anteriores directivos de la compañía iniciaron.