Uber: el negocio, por encima de la seguridad de usuarios y choferes
José Soto Galindo
3 diciembre, 2017ACTUALIZACIÓN 6/03/2018: En marzo de 2018 se conoció que había casi 1 millón de usuarios de Uber en México afectados por la filtración de sus datos personales en el hackeo de 2016. Ver nota en El Economista
Uber ha dado prioridad a los beneficios económicos por encima de la seguridad de sus clientes y conductores. Durante un año mantuvo en secreto una enorme vulneración a sus bases de datos, que en su momento comprometió información de carácter personal de 57 millones de clientes. Desconocemos si hay mexicanos en la lista porque Uber no ha notificado directamente a los afectados ni documentado el caso ante las autoridades, a pesar de que la ley mexicana se lo obliga.
De acuerdo con Uber México, entre la información sustraída se encuentran nombres, direcciones de correo electrónico y números telefónicos de sus clientes, datos suficientes para cometer robos de identidad, fraudes financieros y otros crímenes relacionados con la sustracción de datos personales. La falta de notificación supone una deslealtad y un riesgo para los clientes, quienes se han visto impedidos de tomar medidas para protegerse de posibles afectaciones o considerar siquiera el fin de su relación con Uber y optar por otra compañía que garantice un tratamiento seguro de los datos.
Pero el hackeo a Uber tampoco sorprende: es el segundo conocido públicamente desde 2014 y se une a una lista de malas prácticas que la compañía acumula como si se tratara de una colección de postales.
- Uber es una compañía dispuesta a engañar a las autoridades municipales para evadir inspecciones regulatorias (lo hizo a través del software Greyball);
- que presumiblemente rastrea y monitorea a los conductores de firmas rivales para boicotear sus operaciones (el FBI investiga la utilización del software Hell, creado para ese fin);
- que aplica trucos psicológicos para hacer que sus conductores trabajen más tiempo (The New York Times alertó en abril sobre los ejercicios de la compañía con ciencias del comportamiento), y
- que por lo menos en México exprime a sus conductores al utilizar sus ingresos para defender su posición de mercado y sus propios beneficios.
Uber pagó 100,000 dólares a los hackers para asegurarse de que “borraran” la información robada y firmó con ellos un convenio de confidencialidad, como si fuesen socios de negocio legítimos; ocultó el pago como si se tratase de un servicio de detección de vulnerabilidades (bug bounty, como se dice en la jerga).
- Informó del hackeo primero a SoftBank —el banco japonés con el que negocia una inversión de 10,000 millones de dólares— semanas antes de hacerlo ante las autoridades. Hay prioridades.
La oficina de protección de datos en México, el Inai, dijo en un comunicado que pedirá a Uber que le informe sobre el número de mexicanos expuestos al robo de datos y que, en su caso, “determinará las acciones legales que correspondan”.
En la Cámara de Diputados se trabaja en un punto de acuerdo para solicitar a Uber que explique qué medidas está tomando para remediar la situación.
- “Estoy preocupada. El hackeo no sólo viola la privacidad, sino también el contrato comercial que se establece con la empresa”, me dijo la diputada Candelaria Ochoa Ávalos (MC), secretaria de la Comisión de Transparencia y Anticorrupción.
- Mario di Costanzo, presidente de la oficina para la defensa de los usuarios de servicios financieros (Condusef), ha recomendado a los consumidores monitorear sus estados de cuenta y alertó sobre reclamaciones de clientes de Banorte de cargos no reconocidos desde la plataforma de Uber.
La compañía tiene más de 7 millones de usuarios y 250,000 socios conductores registrados en México. ¿Cuántos de ellos se encuentran entre los afectados? Imposible saberlo. Esperemos que las autoridades actúen con responsabilidad y firmeza y hagan valer la normativa para la protección de los datos en México. Uber merece una sanción ejemplar por su seguridad laxa y penetrable y por su falta de respeto a los consumidores.
Lo que dice Uber México
Envié a Uber un cuestionario muy concreto sobre las consecuencias del hackeo en México. A continuación presento sus respuestas, recibidas el 30 de noviembre:
—¿Entre los afectados, cuántos son usuarios mexicanos (choferes y consumidores)?
—Hasta el momento no contamos con información para responder esta pregunta.
—¿Qué tipo de información estuvo a disposición del o los atacantes?
—Confirmamos que ningún tipo de información de historial de viajes, números de tarjetas de crédito, fechas de nacimiento, así como números de seguridad social fueron expuestos en el caso del incidente de manejo de datos del 2016. Seguiremos informando de manera oportuna toda la información pertinente sobre este caso.
—De parte de Uber, ¿ya se notificó a las autoridades mexicanas (Inai) sobre la vulneración?
—Estamos en proceso de notificar a autoridades regulatorias y gubernamentales en determinados países, y esperamos tener un diálogo continuo con ellos. Hasta que terminemos este proceso no estamos en la posición de dar más detalles sobre esta situación.
—¿Cuánto tiempo estuvo abierta la brecha de seguridad?
—Hasta el momento no contamos con esta información para responder esta pregunta.
—¿Cómo está ayudando Uber a sus usuarios para prevenir riesgos por el hackeo?
—Seguimos trabajando para mejorar lo más posible la seguridad dentro de Uber y del manejo de los datos de nuestros usuarios y socios conductores.
En su respuesta, Uber agregó lo siguiente:
Los hackers “pudieron acceder a archivos que contenían una cantidad significativa de otra información, entre la que se incluye:
- Los nombres y los números de licencia de conducir de cerca de 600,000 socios conductores en Estados Unidos. Ellos pueden encontrar más información aquí [información en inglés].
- Información personal de 57 millones de usuarios alrededor del mundo, incluyendo a los socios conductores mencionados anteriormente. Esta información incluye nombres, direcciones de correo electrónico y números de teléfono. Los usuarios pueden encontrar más información aquí.
Otras preguntas realizadas a Uber, para las que no se tuvo respuesta:
- La ley mexicana de protección de datos obliga a los responsables a informar de manera inmediata a los titulares de los datos sobre vulneraciones (artículo 20 de la LFPDPPP), ¿cuándo veremos esa comunicación para usuarios y conductores?
- La respuesta al primer cuestionario no es clara respecto a la notificación a las autoridades. Ya ha pasado un año desde el incidente y Uber apenas se encuentra “en proceso de notificar a las autoridades”. ¿Ya notificó Uber México al Inai?
- ¿Qué garantías obtuvo Uber de los “dos individuos ajenos a la compañía” que accedieron a datos personales en posesión de Uber sobre la destrucción de esta información?
Hackeos a empresas privadas
- Hackear un casino: lecciones de MGM y Caesars en Las Vegas (9 de octubre, 2022)
- Hackear a Rackspace (14 de diciembre, 2022)
- Hola, me robaron tus datos personales… Atte. Twitter (15 de agosto, 2022)
- Lecciones del hackeo a McDonald’s México (2 de mayo, 2022)
- Hay más usuarios afectados por hackeo a Mercado Libre (23 de abril, 2022)
- Lecciones del hackeo a Mercado Libre (13 de marzo, 2022)
- Lecciones del hackeo a YoTePresto (16 de agosto, 2020)
- Lecciones del hackeo a iVoy (10 de agosto, 2020)
- Lecciones del hackeo a Bitso (11 de junio, 2020)
- Hoteles Marriott: salvados por el coronavirus (4 de junio, 2020)
- Capital One: Instrucciones para robar un banco (5 de agosto, 2019)
- Empleados de KPMG México descargaron facturas del SAT sin autorización y vulneraron datos personales de sus clientes (19 de abril, 2019)
- Lecciones del hackeo a los hoteles Marriott (10 de diciembre, 2018)
- ¿Cuánto pagará Uber en México por el hackeo de datos personales? (1 de octubre, 2018)
- Enconta expuso estados de cuenta y otros datos personales de sus clientes en la nube de Amazon (24 de septiembre, 2018)
- Hova Health: a la vista de quien sea, los datos personales sensibles de ciudadanos de Michoacán (20 de agosto, 2018)
- Uber: el negocio, por encima de la seguridad de usuarios y choferes (3 de diciembre, 2017)
- Lecciones del hackeo a la consultora Deloitte (9 de octubre, 2017)
- Lecciones del hackeo al buró de crédito Equifax (11 de septiembre, 2017)
- Hackear las elecciones (9 de junio, 2017)
- Yahoo: Hit me, baby, one more time (24 de enero, 2017)
La foto que ilustra este post es original de Shopblocks (www.shopblocks.com) y utiliza una licencia CC.