Si hay algo que nos enseña la historia reciente de la tecnología es que, por muy gigante que seas, tienes los pies de barro si descuidas tu ciberseguridad. Hoy vamos a repasar una historia de "terror" corporativo en dos actos protagonizada por Uber. Una crónica que va desde el encubrimiento de una brecha masiva en 2016 (revelada en 2017) hasta un ataque de ingeniería social de manual en 2022.
Prepara las palomitas, porque esto demuestra que el hombre (y la empresa) es el único animal que tropieza dos veces con la misma piedra digital.
Acto 1: El encubrimiento de 2016-2017
Todo comenzó en octubre de 2016, aunque el mundo no se enteró hasta un año después. Uber sufrió una fuga de información colosal. ¿El saldo? 57 millones de usuarios afectados en todo el mundo.
Los ciberdelincuentes se hicieron con un botín de datos que incluía nombres, correos electrónicos y números de teléfono de 57 millones de viajeros, además de los datos de 7 millones de conductores (incluyendo 600.000 números de licencia de conducir en EE. UU.). Aunque la empresa aseguró que no se robaron tarjetas de crédito ni números de la seguridad social, el golpe fue tremendo.
Pero lo verdaderamente escandaloso no fue el hackeo en sí, sino la gestión del incidente. En lugar de avisar a las autoridades y a los afectados (como dicta la ley y el sentido común), la directiva de la época decidió meter la basura bajo la alfombra.
Según relatan fuentes oficiales como INCIBE, Uber optó por pagar 100.000 dólares a los hackers para que borraran la información y mantuvieran la boca cerrada. Un "pago por silencio" que intentaron disfrazar como una recompensa por descubrir vulnerabilidades.
El pastel se descubrió en noviembre de 2017, cuando el nuevo consejero delegado, Dara Khosrowshahi, tuvo que salir a pedir perdón y admitir que "nada de esto tenía que haber pasado". El resultado: multas millonarias de reguladores europeos, despidos de directivos y una reputación hecha trizas por intentar ocultar la verdad.
Acto 2: 2022 y la "fatiga" de un empleado
Podríamos pensar que tras el escándalo de 2017, Uber se convertiría en una fortaleza inexpugnable. Sin embargo, en septiembre de 2022, la historia se repitió, pero con un guion diferente y un protagonista inesperado: un joven de 18 años.
Esta vez no hizo falta un código ultra sofisticado para romper las murallas. El atacante utilizó una técnica conocida como "fatiga de MFA" (Autenticación Multifactor). El hacker, tras comprar credenciales de un empleado en la dark web, bombardeó al trabajador con solicitudes de acceso a su móvil durante una hora. Imagina tu teléfono vibrando sin parar pidiéndote que apruebes un inicio de sesión.
Para rematar la jugada, el atacante contactó al empleado por WhatsApp haciéndose pasar por el equipo de soporte de TI de Uber, pidiéndole que aceptara la notificación para que el "ruido" parara. El empleado, harto y confundido, aceptó. Y así, le abrió la puerta de par en par.
Una vez dentro, el daño fue total. El hacker encontró un script de PowerShell que contenía, por error, credenciales de administrador codificadas. Con esas llaves maestras accedió a la infraestructura crítica: Amazon Web Services, Google Cloud, los repositorios de código y hasta las herramientas de seguridad.
El momento cumbre del surrealismo llegó cuando el hacker publicó en el canal de Slack de toda la empresa: "Anuncio que soy un hacker y que Uber ha sufrido una violación de datos". ¿La reacción de los empleados? Pensaron que era una broma y respondieron con emojis de risa, sin saber que el ataque era real.
La lección que no debemos olvidar
El caso de Uber nos deja aprendizajes valiosos que ninguna empresa, grande o pequeña, puede ignorar.
En primer lugar, la tecnología falla si falla el factor humano. En 2022, un simple "sí" en una notificación de móvil derribó toda la seguridad de una multinacional. Esto subraya que las empresas deben proteger a sus empleados de forma continua a través de la formación y concienciación. Educar al equipo para no confiar ciegamente y reconocer tácticas de ingeniería social es tan importante como tener el mejor antivirus.
Además, es vital contar con sistemas permanentemente actualizados y políticas de "Confianza Cero" (Zero Trust), donde no se confía en ningún dispositivo o usuario hasta que se verifica exhaustivamente, incluso si ya está dentro de la red.
Finalmente, este doble incidente nos recuerda la importancia de tener proveedores de ciberprotección de confianza y cercanos. No basta con poner un parche cuando ocurre el desastre; se necesitan soluciones proactivas y un acompañamiento experto que entienda que la ciberseguridad es un proceso vivo.
Protegerte correctamente no tiene precio
En un entorno digital hostil, Gigas blinda tu continuidad de negocio. No solo ofrecemos servicios cloud; desplegamos una arquitectura de defensa integral con firewalls de última generación, sistemas avanzados para neutralizar y un SOC a la medida de tu empresa, sin olvidar la formación y concienciación de tus empleados. Protege tu activo más valioso con la seguridad que tu empresa merece. Soluciones de ciberseguridad para todas las empresas aquí!
