Uber ha dado prioridad a los beneficios económicos por encima de la seguridad de sus clientes y conductores. Durante un año mantuvo en secreto una enorme vulneración a sus bases de datos, que en su momento comprometió información de carácter personal de 57 millones de clientes. Desconocemos si hay mexicanos en la lista porque Uber no ha notificado directamente a los afectados ni documentado el caso ante las autoridades, a pesar de que la ley mexicana se lo obliga.

De acuerdo con Uber México, entre la información sustraída se encuentran nombres, direcciones de correo electrónico y números telefónicos de sus clientes, datos suficientes para cometer robos de identidad, fraudes financieros y otros crímenes relacionados con la sustracción de datos personales. La falta de notificación supone una deslealtad y un riesgo para los clientes, quienes se han visto impedidos de tomar medidas para protegerse de posibles afectaciones o considerar siquiera el fin de su relación con Uber y optar por otra compañía que garantice un tratamiento seguro de los datos.

Pero el hackeo a Uber tampoco sorprende: es el segundo conocido públicamente desde 2014 y se une a una lista de malas prácticas que la compañía acumula como si se tratara de una colección de postales. Uber es una compañía dispuesta a engañar a las autoridades municipales para evadir inspecciones regulatorias (lo hizo a través del software Greyball); que presumiblemente rastrea y monitorea a los conductores de firmas rivales para boicotear sus operaciones (el FBI investiga la utilización del software Hell, creado para ese fin); que aplica trucos psicológicos para hacer que sus conductores trabajen más tiempo (The New York Times alertó en abril sobre los ejercicios de la compañía con ciencias del comportamiento), y que por lo menos en México exprime a sus conductores al utilizar sus ingresos para defender su posición de mercado y sus propios beneficios.

Uber pagó 100,000 dólares a los hackers para asegurarse de que “borraran” la información robada y firmó con ellos un convenio de confidencialidad, como si fuesen socios de negocio legítimos; ocultó el pago como si se tratase de un servicio de detección de vulnerabilidades (bug bounty, como se dice en la jerga). Informó del hackeo primero a SoftBank —el banco japonés con el que negocia una inversión de 10,000 millones de dólares— semanas antes de hacerlo ante las autoridades. Hay prioridades.

La oficina de protección de datos en México, el Inai, dijo en un comunicado que pedirá a Uber que le informe sobre el número de mexicanos expuestos al robo de datos y que, en su caso, “determinará las acciones legales que correspondan”. En la Cámara de Diputados se trabaja en un punto de acuerdo para solicitar a Uber que explique qué medidas está tomando para remediar la situación. “Estoy preocupada. El hackeo no sólo viola la privacidad, sino también el contrato comercial que se establece con la empresa”, me dijo la diputada Candelaria Ochoa Ávalos (MC), secretaria de la Comisión de Transparencia y Anticorrupción. Mario di Costanzo, presidente de la oficina para la defensa de los usuarios de servicios financieros (Condusef), ha recomendado a los consumidores monitorear sus estados de cuenta y alertó sobre reclamaciones de clientes de Banorte de cargos no reconocidos desde la plataforma de Uber.

La compañía tiene más de 7 millones de usuarios y 250,000 socios conductores registrados en México. ¿Cuántos de ellos se encuentran entre los afectados? Imposible saberlo. Esperemos que las autoridades actúen con responsabilidad y firmeza y hagan valer la normativa para la protección de los datos en México. Uber merece una sanción ejemplar por su seguridad laxa y penetrable y por su falta de respeto a los consumidores.

Uber Eats en Londres. Foto original de Shopblocks (Creative Commons / Flickr).

Lo que dice Uber México

Envié a Uber un cuestionario muy concreto sobre las consecuencias del hackeo en México. A continuación presento sus respuestas, recibidas el 30 de noviembre:

—¿Entre los afectados, cuántos son usuarios mexicanos (choferes y consumidores)?

—Hasta el momento no contamos con información para responder esta pregunta.

—¿Qué tipo de información estuvo a disposición del o los atacantes?

—Confirmamos que ningún tipo de información de historial de viajes, números de tarjetas de crédito, fechas de nacimiento, así como números de seguridad social fueron expuestos en el caso del incidente de manejo de datos del 2016. Seguiremos informando de manera oportuna toda la información pertinente sobre este caso.

—De parte de Uber, ¿ya se notificó a las autoridades mexicanas (Inai) sobre la vulneración?

—Estamos en proceso de notificar a autoridades regulatorias y gubernamentales en determinados países, y esperamos tener un diálogo continuo con ellos. Hasta que terminemos este proceso no estamos en la posición de dar más detalles sobre esta situación.

—¿Cuánto tiempo estuvo abierta la brecha de seguridad?

—Hasta el momento no contamos con esta información para responder esta pregunta.

—¿Cómo está ayudando Uber a sus usuarios para prevenir riesgos por el hackeo?

—Seguimos trabajando para mejorar lo más posible la seguridad dentro de Uber y del manejo de los datos de nuestros usuarios y socios conductores.

En su respuesta, Uber agregó lo siguiente:

Los hackers “pudieron acceder a archivos que contenían una cantidad significativa de otra información, entre la que se incluye:

  • Los nombres y los números de licencia de conducir de cerca de 600,000 socios conductores en Estados Unidos. Ellos pueden encontrar más información aquí [información en inglés].
  • Información personal de 57 millones de usuarios alrededor del mundo, incluyendo a los socios conductores mencionados anteriormente. Esta información incluye nombres, direcciones de correo electrónico y números de teléfono. Los usuarios pueden encontrar más información aquí.

Otras preguntas realizadas a Uber, para las que no se tuvo respuesta:

  1. La ley mexicana de protección de datos obliga a los responsables a informar de manera inmediata a los titulares de los datos sobre vulneraciones (artículo 20 de la LFPDPPP), ¿cuándo veremos esa comunicación para usuarios y conductores?
  2. La respuesta al primer cuestionario no es clara respecto a la notificación a las autoridades. Ya ha pasado un año desde el incidente y Uber apenas se encuentra “en proceso de notificar a las autoridades”. ¿Ya notificó Uber México al Inai?
  3. ¿Qué garantías obtuvo Uber de los “dos individuos ajenos a la compañía” que accedieron a datos personales en posesión de Uber sobre la destrucción de esta información?

La foto que ilustra este post es original de Shopblocks (www.shopblocks.com) y utiliza una licencia CC. El gif es original de Forbes.

Este artículo originalmente se publicó en El Economista el 3 de diciembre de 2017.

Comentarios

economicon

Newsletter

TwitterFacebook