Alguien que se presenta como un joven de 18 años obtuvo acceso completo a los sistemas alojados en la nube (provistos por Amazon y Google) donde Uber almacena datos financieros y confidenciales de sus clientes, desde licencias de conducir hasta el registro de sus viajes y, potencialmente, sus tarjetas de crédito u otras formas de pago. Según se sabe, el hacker no requirió de sofisticados conocimientos informáticos, sino que recurrió a una táctica denominada “ingeniería social”: se hizo pasar por un empleado de la compañía o de alguno de sus contratistas a fin de que sus “colegas” le entregaran las contraseñas necesarias para acceder a la red. Esta modalidad de ataque ya se ha usado para sustraer datos a empresas de tan alto perfil como Microsoft y Twitter, y una especialista señala que su uso se basa en “múltiples y enormes fallos sistémicos en materia de cultura e ingeniería de seguridad”.
De acuerdo con filtraciones anónimas, el propio hacker informó a la empresa de transporte que había vulnerado su red debido a la falta de seguridad, además de hacer un llamado a mejorar los salarios de los conductores de la plataforma. Hasta ahora no está claro si el atacante sustrajo los datos de clientes o sólo tenía la intención de exhibir las fallas de seguridad y su capacidad para violar sus sistemas internos.
Las sustracciones o vulneraciones de datos confidenciales de usuarios de grandes empresas digitales se han vuelto casi rutinarias. Apenas este mes, un grupo de piratas informáticos afirmó haber robado nombres de usuario, contraseñas e incluso información de pagos realizados a través de TikTok y WeChat, la popular red social de videos cortos y el servicio de mensajería instantánea chinos. En julio pasado, Twitter tuvo que confirmar que al menos 5.4 millones de perfiles sufrieron el robo de su información privada, la cual fue puesta a la venta en un foro de piratería.
En ocasiones, ni siquiera es necesario acceder a los sistemas internos de las compañías para hacerse con gigantescos volúmenes de datos de los usuarios. Mediante una técnica llamada scraping (de “raspar”), los hackers recopilan información que aparece de manera pública en las cuentas de redes sociales, y que puede incluir el nombre, el correo electrónico, números telefónicos, lugar de trabajo y cargo que ocupa, e incluso la ubicación geográfica. Un solo pirata usó el scraping para reunir la información de 700 millones de usuarios de LinkedIn y 533 millones de Facebook, la cual ofreció a la venta en comunidades virtuales. Aunque todos los registros eran públicos, está claro que su circulación, juntos y en una cantidad tal, representa una amenaza de que sean usados para todo tipo de actividades ilegales.
Con estos incidentes, está claro que, pese a lo que digan sus voceros, las grandes compañías no han reaccionado a estos ataques adoptando medidas de seguridad suficientes para salvaguardar los datos y, con ellos, la integridad física y patrimonial de sus clientes, quienes viven la incertidumbre de cuánto peligro corren cada vez que se produce una filtración. Si bien es cierto que los piratas siempre parecen ir un paso delante de quienes diseñan los sistemas de protección, las empresas no deberían escatimar en la defensa de lo que hoy por hoy constituye una auténtica mina de oro para ellas: son estos datos los que les permiten a algunas (de manera destacada Alphabet y Meta, matrices de Google y Facebook) facturar cientos de miles de millones de dólares en publicidad dirigida, y los que dan a otras (como la propia Uber) una ventaja inestimable sobre sus competidores al revelarles los hábitos, preferencias y necesidades de sus usuarios.