HayCanal.com

Tres fabricantes de seguridad opinan sobre el robo de datos encubierto por Uber

Tres fabricantes de seguridad opinan sobre el robo de datos encubierto por Uber

Una vez más, la actualidad informativa viene marcada por un incidente de seguridad que afecta a millones de usuarios en todo el mundo. Se trata del robo de datos personales que Uber ha admitido haber sufrido en 2016 y del que hasta ahora no había informado.

Esta brecha de seguridad ha afectado a más de 57 millones de usuarios y conductores de Uber y, entre los datos robados, se encuentran nombres, direcciones de correo electrónico y números de teléfono. Con el fin de ocultar este ciber ataque, la compañía realizó un pago a los hackers de 100.000 dólares.

Como explica Rik Ferguson, vicepresidente de investigación de seguridad de Trend Micro: "No hay duda de que el antiguo equipo de administración y seguridad de Uber no asumió la responsabilidad con sus conductores, con los reguladores, con la justicia y, sobre todo, con sus clientes, y esto es una lista demasiado larga. Aunque algunos de los responsables pueden haber sido silenciados por sus atacantes, el robo digital no funciona de la misma manera que en el mundo físico, pues nunca se pueden "volver a recomprar los negativos" una vez que los datos han sido robados".

El directivo e investigador de Trend Micro continúa: "Es alentador ver que el nuevo equipo de gestión aclare la brecha y quiera ser transparente, pero sigo preocupado por algunas de las palabras que aparecen en el blog del Sr. Khosrowshahi. Parece que separa la "infraestructura y sistemas corporativos" de Uber del "servicio de terceros basado en la nube" que fue el objetivo de la brecha. Quizás, esto es un indicativo de la raíz del problema. Los servicios cloud adoptados por una empresa *SON* sistemas corporativos e infraestructura y desde la perspectiva de la seguridad deben ser tratados como tales".

"Está claro que la responsabilidad nunca se puede subcontratar", concluye Ferguson.

Por su parte, David Emm, analista principal de seguridad de Kaspersky Lab, también ha hecho unas declaraciones al respecto de este asunto:

Las consecuencias derivadas de la brecha de datos a gran escala de Uber ponen de relieve la importancia y la necesidad de transparencia y responsabilidad en las empresas. En los últimos años, se han conocido varias brechas de seguridad en empresas con posterioridad al incidente, y este retraso en la comunicación  es de poca ayuda para los clientes afectados, poniendo de manifiesto la necesidad de establecer una normativa. Es de esperar que el GDPR (Reglamento General de Protección de Datos), que entra en vigor en mayo de 2018, motive a las empresas a que, en primer lugar, tomen medidas para proteger los datos de los clientes, y en segundo lugar, a que notifiquen a la ICO (Oficina del Comisionado de Información) las infracciones en un tiempo adecuado.

Los usuarios que confíen información privada a empresas deben estar seguros de que se van a guardar de forma segura. Cuando se produce una brecha como ésta, recuperar y reconstruir  la confianza de los clientes es proceso largo en el tiempo.

Al pagar dinero a los ciberdelincuentes Uber está estableciendo un peligroso precedente que incentiva aún más a los ciberdelincuentes. Con el GDPR las multas aumentarán hasta el 4% de la facturación anual y es posible que veamos más casos de ciberdelincuentes chantajeando a las empresas si el pago solicitado es considerablemente menor que la multa a la que tendrían que enfrentarse si reportan el incidente”.

Finalmente, desde el fabricante de seguridad Sophos también nos ofrecen su punto de vista:

La reciente filtración de datos sufrida por Uber, que ha afectado a 57 millones de sus clientes y conductores en todo el mundo, es una muestra más de que es necesario tomarse la ciberseguridad en serio y que nunca se debe incrustar o implementar tokens de acceso (generadores de claves) o claves en repositorios de códigos fuente. Por lo general, este tipo de maniobras no son descubiertas mientras las empresas quieren mantenerlas en secreto, como en el caso de Uber que pagó a los ciberdelincuentes 100.000 dólares para que ocultaran la brecha de seguridad.

Más allá de la próxima entrada en vigor del Reglamento General de Protección de Datos (GDPR, por sus siglas en inglés), que castigará severamente este tipo de prácticas, el caso de Uber nos hace ver que hoy en día muchos equipos de desarrolladores no tienen un alto estándar de las prácticas de seguridad y que ha compartido credenciales. Lamentablemente, estas prácticas son más comunes de lo deseable en entornos de desarrollo ágil.

Uber no es la única ni será la última compañía en ocultar una filtración de datos o un ciberataque. No notificar a los consumidores los expone a un mayor riesgo de ser víctimas de fraude. Es por esta razón que muchos países están impulsando una regulación que obligue a las empresas a divulgar las brechas de seguridad.

Para aquellos clientes y conductores de Uber que han sido afectados por la brecha de seguridad, Sophos recomienda que comprueben sus cuentas bancarias y mantengan los ojos bien abiertos para no ser víctimas de un robo.


También te puede gustar: