Empresas guardan silencio ante la ciberseguridad
COMPARTIR
TEMAS
Las compañías involucradas con las tecnologías ocultan información sobre vulneraciones o ataques en línea
CDMX.- A las empresas les gustan los secretos. La vulneración difundida por Uber el martes 21 de noviembre fue descubierta, según un comunicado firmado por Dara Khosrowshahi, director a nivel global de la compañía, “a finales de 20l6”. El incidente se hizo del conocimiento público un año y un mes después de que 57 millones de nombres, direcciones de email y números de teléfono móvil de conductores y usuarios de todo el mundo fueran descargados de uno de sus servidores externos en suelo holandés.
No es la primera vez que una empresa involucrada con las tecnologías de la información mantiene oculta información sobre brechas, vulneraciones o ataques en línea. Este tipo de eventos se ha vuelto recurrente entre las compañías.
El caso de Deloitte, que ocultó información acerca de una plataforma de correo electrónico alojada en un sistema de nube, con direcciones de ejecutivos y personal de la compañía, comprometida entre noviembre del 2016 y marzo del 2017. El periódico inglés The Guardian dio a conocer el hecho el 25 de septiembre, más de seis meses después de que la vulneración fuera encontrada.
Ni las autoridades ni los usuarios y socios de Uber sabían tampoco, hasta el martes pasado, que la compañía le pagó, en noviembre del 2016, 100 mil dólares a quienes robaron la información para que la destruyeran y que ésta no pudiera ser usada de manera errónea. De acuerdo con la compañía, los atacantes le dieron garantías de que “los datos descargados habían sido destruidos”.
¿NADA DE QUÉ PREOCUPARSE?
Uber afirma que los usuarios no deben realizar ninguna acción. No hay nada de qué preocuparse. Para la compañía no es necesario que los usuarios le requieran información sobre el estatus de los datos ni que acudan con las autoridades para levantar quejas por la violación a su derecho a la protección de datos personales
El problema de la secrecía se vuelve mayúsculo cuando los datos extraídos en un vulneración incluyen información que puede poner en peligro la estabilidad financiera e incluso la identidad de una persona, como sucedió con la vulneración que sufrió la agencia Equifax, en la que cientos de miles de números de tarjetas de crédito y de seguridad social fueron comprometidos.
“La única forma en que uno puede tener responsabilidad directa bajo los estatutos de notificación de violación de seguridad es no dar aviso. Por lo tanto, tiene poco sentido encubrir una violación “, dijo Chris Hoofnagle del Centro de Derecho y Tecnología de Berkeley entrevistado para un artículo de The Guardian al respecto de la vulneración a Uber.
Hasta el momento, no se sabe si es que hay cuentas de usuarios mexicanos o de cualquier otra nacionalidad que no sean los 600 mil conductores estadounidenses cuyo nombre y número licencia resultaron comprometidos.
Tampoco sabemos si efectivamente los atacantes destruyeron la información apenas recibieron los 100 mil dólares que les entregó la compañía.
Lo único que sabemos es que a las empresas como Uber les toma una buena cantidad de tiempo hacer públicos los robos de información que sufren.
PARA MUESTRA, EL CASO YAHOO
Yahoo es un buen ejemplo del secretismo al que se han acostumbrado las compañías cuyo negocio está basado en la conectividad de la red.
> Las revelaciones de información sobre el hackeo a la compañía duraron casi tres años.
> En 2013 se anunció que 500 millones de cuentas habían sido comprometidas.
> Para 2016, la compañía reconoció un segundo robo de información que sumó mil millones de cuentas más.
> En octubre pasado, el número total de cuentas robadas ascendió a los tres mil millones, que conforman toda la base de datos de la compañía.
