El Exjefe de seguridad de Uber culpable de ocultar un hackeo de datos
Un jurado de San Francisco encontró al exjefe de seguridad de Uber, Joe Sullivan, culpable de obstrucción a la justicia por no informar a las autoridades sobre un incidente de ciberseguridad en 2016.
Sullivan, quien fue despedido de Uber en 2017, fue declarado culpable de los cargos de obstrucción a la justicia y ocultación deliberada de un delito grave, según confirmó el miércoles un portavoz del Departamento de Justicia de Estados Unidos.
“Sullivan trabajó para ocultar la violación de datos de la Comisión Federal de Comercio (FTC) y tomó medidas para evitar que se detuviera a los piratas informáticos”, dijo Stephanie Hinds, fiscal federal para el distrito norte de California.
El caso se estaba viendo como un precedente importante con respecto a la culpabilidad de los empleados y ejecutivos de seguridad individuales al manejar incidentes de seguridad cibernética, una preocupación que solo ha crecido en un momento en que han aumentado los informes de ataques de ransomware y las primas de seguros de seguridad cibernética.
El caso se refiere a una violación de los sistemas de Uber que afectó a los datos de 57 millones de pasajeros y conductores.
La filtración tuvo lugar en 2016, pero Uber solo la reveló públicamente un año después. Las divulgaciones públicas de violaciones de seguridad son requeridas por ley en muchos estados de EE.UU., y la mayoría de las regulaciones exigen que la notificación se realice «en el tiempo más conveniente posible y sin demoras injustificadas».
Las revelaciones de Uber provocaron varias investigaciones federales y estatales. En septiembre de 2018, Uber tuvo que pagar 148 millones de dólares en multas por reclamaciones de los 50 estados de EE.UU. y Washington DC, de que fue demasiado lento para revelar la piratería. Los dos piratas informáticos involucrados en el año se declararon culpables de piratear a Uber y luego extorsionar el programa de investigación de seguridad de «recompensa de errores» de Uber el año siguiente.
El departamento de justicia presentó cargos penales contra Sullivan en 2020. En ese momento, los fiscales alegaron que acordó pagar a los piratas informáticos 100.000 dólares en bitcoins y les hizo firmar acuerdos de confidencialidad que declaraban falsamente que no habían robado datos.
Sullivan también fue acusado de ocultar información a los funcionarios de Uber que podrían haber revelado la violación a la FTC, que había estado evaluando la seguridad de los datos de la empresa con sede en San Francisco después de una violación en 2014.
En julio, Uber aceptó la responsabilidad de encubrir la violación y acordó cooperar con el enjuiciamiento de Sullivan por su presunto papel en el ocultamiento de la piratería, como parte de un acuerdo con los fiscales estadounidenses para evitar cargos penales.
Un portavoz de la FTC dijo en un comunicado el jueves: «La decisión del tribunal afirma que no se tolerará ocultar violaciones graves de datos de la FTC y deja en claro que los ejecutivos de las grandes tecnologías no están por encima de la ley».