En 2016 un grupo de hackers accedió a los sistemas tecnológicos de Uber y robó datos personales de 57 millones de sus clientes y conductores. Uber —una compañía que ofrece servicios de transporte a través de un software instalado en teléfonos móviles— ocultó este incidente de ciberseguridad durante un año. Entre los afectados hubo casi 1 millón de mexicanos, se supo en marzo de 2018.

Los hackers robaron nombres, correos electrónicos y números telefónicos. 25.6 millones de las cuentas hackeadas pertenecían a usuarios en Estados Unidos. Los números de las licencias de conducir de 600,000 conductores estadounidenses también fueron robados. Uber dijo que pagó 100,000 dólares a los hackers para que borraran la información sustraída. Ajá.

El incidente provocó investigaciones judiciales contra Uber en todo Estados Unidos. “Al fallar en la protección de información personal y sensible —a pesar de que es su obligación legal hacerlo— y al ocultar la brecha de seguridad por más de un año —a pesar de que es su obligación legal informar sobre este tipo de incidencias— Uber expuso de manera deliberada e intencional a los ciudadanos de Chicago y de Illinois al robo de identidad y al fraude financiero, a estafas relacionadas con la devolución de impuestos y a otros daños potenciales”, se lee en la demanda del Ayuntamiento de Chicago contra Uber.

Uber tiene en México 8 millones de usuarios activos y más de 250,000 socios conductores en 43 ciudades de 23 estados. Hace un par de años presumió que México representaba su tercera mayor operación global. La Procuraduría General de la República (PGR) informó en marzo que colaboraba con Uber para “buscar” que “los datos plagiados no pongan en riesgo la integridad ni el patrimonio de los usuarios”. Aseguró que a través de la Agencia de Investigación Criminal (AIC) y su Unidad de Investigaciones Cibernéticas y Operaciones Tecnológicas (UICOT) “trabaja en prevenir que la información filtrada llegue a internet, particularmente al mercado negro en la Deep y Dark Web”. (¿En qué quedamos: se puede confiar en que los hackers retribuidos por Uber borraron la información?).

La autoridad de protección de datos personales de México, el Inai, informó a través de una solicitud de acceso a la información en enero de 2018 que había recibido una denuncia relacionada con el incidente, “la cual derivó en una orientación”. Antes había dicho que pediría información a Uber “que permita conocer cuántos usuarios, choferes y empleados mexicanos fueron afectados, así como las medidas implementadas para evitar vulneraciones futuras y, en su caso, mitigar los daños de la ocurrida en 2016”. Y ya.

El 26 de septiembre pasado se informó que Uber llegó a un acuerdo en Estados Unidos para pagar 148 millones de dólares y detener las investigaciones en su contra. Uber se comprometió a implementar medidas para reducir la posibilidad de ataques cibernéticos que pongan en riesgo la información personal de sus consumidores. También se comprometió a adoptar mecanismos de transparencia: cada tres meses entregará un reporte a las autoridades sobre incidentes de ciberseguridad durante los próximos dos años.

“La decisión de Uber de encubrir esta brecha de seguridad fue una flagrante violación de la confianza de los consumidores. (…) En coincidencia con su cultura corporativa de ese momento, Uber ocultó la brecha de seguridad bajo la alfombra en una deliberada falta de respeto a la ley”, dijo en un comunicado el fiscal general de California, Xavier Becerra.

¿Uber será sancionado en México por esta filtración de datos personales de sus consumidores? ¿Llegará a un acuerdo económico como apercibimiento por su negligencia y el ocultamiento del incidente? Apuesto que no. Aunque deseo equivocarme.

Hackeos a empresas privadas

• Hackear un casino: lecciones de MGM y Caesars en Las Vegas (9 de octubre, 2022)
• Hackear a Rackspace (14 de diciembre, 2022)
• Hola, me robaron tus datos personales… Atte. Twitter (15 de agosto, 2022)
• Lecciones del hackeo a McDonald’s México (2 de mayo, 2022)
• Hay más usuarios afectados por hackeo a Mercado Libre (23 de abril, 2022)
• Lecciones del hackeo a Mercado Libre (13 de marzo, 2022)
• Lecciones del hackeo a YoTePresto (16 de agosto, 2020)
• Lecciones del hackeo a iVoy (10 de agosto, 2020)
• Lecciones del hackeo a Bitso (11 de junio, 2020)
• Hoteles Marriott: salvados por el coronavirus (4 de junio, 2020)
• Capital One: Instrucciones para robar un banco (5 de agosto, 2019)
• Empleados de KPMG México descargaron facturas del SAT sin autorización y vulneraron datos personales de sus clientes (19 de abril, 2019)
• Lecciones del hackeo a los hoteles Marriott (10 de diciembre, 2018)
• ¿Cuánto pagará Uber en México por el hackeo de datos personales? (1 de octubre, 2018)
• Enconta expuso estados de cuenta y otros datos personales de sus clientes en la nube de Amazon (24 de septiembre, 2018)
• Hova Health: a la vista de quien sea, los datos personales sensibles de ciudadanos de Michoacán (20 de agosto, 2018)
• Uber: el negocio, por encima de la seguridad de usuarios y choferes (3 de diciembre, 2017)
• Lecciones del hackeo a la consultora Deloitte (9 de octubre, 2017)
• Lecciones del hackeo al buró de crédito Equifax (11 de septiembre, 2017)
• Hackear las elecciones (9 de junio, 2017)
• Yahoo: Hit me, baby, one more time (24 de enero, 2017)

Este artículo originalmente se publicó en El Economista el 30 de septiembre de 2018.