Un pirata informático de 18 años utilizó técnicas de ingeniería social para infiltrarse en la red de la empresa y desconectar varios de sus sistemas internos. ¿Están a salvo los datos de usuarios y conductores?
Uber Technologies descubrió ayer que su red informática había sido vulnerada por un hacker que habría comprometido muchos de los sistemas de la compañía, que se vio obligada a desconectar varios de sus equipos de ingeniería y comunicaciones internas mientras investigaba el alcance del ataque, según revelo The New York Times.
La persona que se atribuyó la responsabilidad del ataque, un individuo que aparentemente tendría 18 años, compartió imágenes de correo electrónico, almacenamiento en la nube y repositorios de códigos a los investigadores de seguridad y al diario norteamericano.
Antes de que comenzaran los fallos técnicos, los empleados de la empresa recibieron un mensaje que decía: "Anuncio que soy un 'hacker' y que Uber ha sufrido una violación de datos".
Según describe el reporte, el pirata informático accedió a la cuenta de Slack (el servicio de mensajería interna de la compañía) de un trabajador y la usó para enviar el mensaje. Luego, se hizo pasar por una persona de TI corporativa y persuadió a un empleado para que le entregase la contraseña que le permitió acceder a los sistemas de la firma.
Le puede interesar: Adobe se queda con Figma por US$ 20.000 millones
Se trata de un clásico ejemplo de la técnica conocida en ciberseguridad como "ingeniería social" y que demuestra cómo el componente humano es el eslabón más débil en la cadena de protección informática.
Uber publicó, primero, un escueto comunicado donde manifestaba que la empresa estaba "respondiendo al incidente" y "en contacto con las autoridades". Varias horas más tarde, comunicó que "no tenía evidencia de que el incidente involucrara el acceso a datos confidenciales de los usuarios (como los historiales de viajes)", que "todos los servicios y la app de Uber están operativos" y que las herramientas de software internas que se suspendieron por precaución estaban volviendo a estar en línea.
Uber ya ha tenido fallos de seguridad en el pasado. En 2016, hackers expusieron la información de 57 millones de cuentas de conductores y pasajeros y exigieron US$ 100.000 para eliminar la copia que poseían de esos datos. La empresa pagó la extorsión y mantuvo ese incidente en secreto durante más de un año.
Joseph Sullivan, jefe de Seguridad de la empresa en aquel momento, fue despedido y luego acusado de obstruir a la Justicia por encubrir el pirateo a los reguladores. En la actualidad, está siendo juzgado por este caso.