Redacción NM
El exdirector de seguridad de Uber fue condenado el miércoles por tratar de encubrir una violación de datos de 2016 en la que los piratas informáticos accedieron a decenas de millones de registros de clientes del servicio de transporte compartido.
Un jurado federal en San Francisco condenó a Joseph Sullivan por obstruir la justicia y ocultar el conocimiento de que se había cometido un delito federal, dijeron los fiscales federales.
Sullivan permanece en libertad bajo fianza pendiente de sentencia y podría enfrentar un total de ocho años de prisión por los dos cargos cuando sea sentenciado, dijeron los fiscales.
“Las empresas de tecnología en el Distrito Norte de California recopilan y almacenan grandes cantidades de datos de los usuarios”, dijo la fiscal federal Stephanie M. Hinds en un comunicado. “No toleraremos el ocultamiento de información importante del público por parte de ejecutivos corporativos más interesados en proteger su reputación y la de sus empleadores que en proteger a los usuarios”. Se creía que era el primer enjuiciamiento penal de un ejecutivo de una empresa por una violación de datos.
Un abogado de Sullivan, David Angeli, discrepó del veredicto.
«Señor. El único enfoque de Sullivan, en este incidente y a lo largo de su distinguida carrera, ha sido garantizar la seguridad de los datos personales de las personas en Internet”, dijo Angeli al New York Times.
Un correo electrónico a Uber en busca de comentarios sobre la condena no fue respondido de inmediato.
Sullivan fue contratado como director de seguridad de Uber en 2015. En noviembre de 2016, los piratas informáticos le enviaron un correo electrónico a Sullivan y los empleados confirmaron rápidamente que habían robado registros de aproximadamente 57 millones de usuarios y también 600,000 números de licencia de conducir, dijeron los fiscales.
Después de enterarse de la violación, Sullivan comenzó un plan para ocultarlo del público y de la Comisión Federal de Comercio, que había estado investigando un ataque menor de 2014, dijeron las autoridades.
Según la oficina del fiscal de los EE. UU., Sullivan les dijo a sus subordinados que «la historia fuera del grupo de seguridad sería que esta investigación no existe» y acordó pagar a los piratas informáticos $ 100,000 en bitcoins a cambio de que firmaran acuerdos de no divulgación prometiendo para no revelar el truco. Tampoco mencionó la violación a los abogados de Uber que participaron en la investigación de la FTC, dijeron los fiscales.
“Sullivan orquestó estos actos a pesar de saber que los piratas informáticos estaban pirateando y extorsionando a otras empresas, así como a Uber”, dijo la oficina del fiscal federal.
La nueva gerencia de Uber comenzó a investigar la filtración en el otoño de 2017. A pesar de que Sullivan mintió al nuevo director ejecutivo y a otros, se descubrió la verdad y la filtración se hizo pública, dijeron los fiscales.
Sullivan fue despedido junto con Craig Clark, un abogado de Uber al que le había contado sobre la violación. Los fiscales le dieron inmunidad a Clark y testificó contra Sullivan.
Ningún otro ejecutivo de Uber fue acusado en el caso.
Los piratas informáticos se declararon culpables en 2019 de cargos de conspiración de fraude informático y están a la espera de sentencia.
Sullivan fue declarado culpable de obstrucción de los procedimientos de la Comisión Federal de Comercio y encubrimiento indebido de delito grave, lo que significa ocultar el conocimiento de un delito grave a las autoridades.
Mientras tanto, algunos expertos han cuestionado cuánto ha mejorado la ciberseguridad en Uber desde la brecha.
La compañía anunció el mes pasado que todos sus servicios estaban operativos luego de lo que los profesionales de seguridad llamaron una violación importante de datos, alegando que no había evidencia de que el pirata informático tuviera acceso a datos confidenciales del usuario.
El hacker solitario aparentemente obtuvo acceso haciéndose pasar por un colega, engañando a un empleado de Uber para que entregara sus credenciales. Las capturas de pantalla que el pirata informático compartió con los investigadores de seguridad indican que obtuvieron acceso completo a los sistemas basados en la nube donde Uber almacena datos confidenciales de clientes y financieros.
No se sabe cuántos datos robó el hacker ni cuánto tiempo estuvo dentro de la red de Uber. No había indicios de que destruyeran los datos.
