Exjefe de seguridad de Uber fue condenado por encubrir el robo de datos de 2016

Joe Sullivan fue acusado de arreglar discretamente para que Uber pagara a los hackers US$100.000 en bitcoin para borrar los datos robados

Por

Bloomberg — Este miércoles, el jurado de un tribunal federal de San Francisco declaró a Joe Sullivan, el exjefe de seguridad de (UBER), como culpable de ocultar una violación masiva de datos en un caso que lo vincularon al polémico pasado de la compañía.

El juicio contó con casi cuatro semanas de testimonios que exploraron la gestión de la seguridad cibernética, así como la reorganización de Uber en 2017, cuando una serie de escándalos llevaron al cofundador Travis Kalanick a abandonar su puesto de director ejecutivo.

Sullivan, un exfiscal federal que anteriormente dirigía la seguridad de Facebook, fue condenado por los dos cargos que se le imputaban: obstruir una investigación gubernamental y ocultar el robo de datos personales de 50 millones de clientes y 7 millones de conductores. Ahora se enfrenta a una pena de hasta ocho años de prisión, aunque es probable que su condena sea mucho menor.

El jurado rechazó la afirmación de Sullivan de que otros ejecutivos de la empresa estaban al tanto del hackeo de 2016 y que fueron responsables de que no se revelara a los reguladores durante más de un año.

“Aunque obviamente no estamos de acuerdo con el veredicto del jurado, apreciamos su dedicación y esfuerzo en este caso. El único objetivo del Sr. Sullivan -en este incidente y a lo largo de su distinguida carrera- ha sido garantizar la seguridad de los datos personales de la gente en Internet”, dijo David Angeli, abogado de Sullivan. “Evaluaremos los próximos pasos en los próximos días”.

Las empresas están obligadas por las leyes estatales y federales a revelar rápidamente las violaciones de datos. La mala gestión de Uber del ataque a sus servidores en 2016 hizo que la empresa pagara 148 millones de dólares en un acuerdo con los 50 estados, que en su momento fue el mayor pago por violación de datos en la historia de Estados Unidos. Uber ya había sido amonestada por la Comisión Federal de Comercio por una filtración de datos similar de 2014.

“Sullivan trabajó afirmativamente para ocultar la filtración de datos a la Comisión Federal de Comercio y tomó medidas para evitar que los hackers fueran descubiertos”, dijo Stephanie Hinds, fiscal estadounidense de San Francisco, en un comunicado enviado por correo electrónico. “No toleraremos la ocultación de información importante al público por parte de ejecutivos de empresas más interesados en proteger su reputación y la de sus empleadores que en proteger a los usuarios”.

Sullivan fue acusado de arreglar discretamente para que Uber pagara a los hackers US$100.000 en bitcoin para borrar los datos robados bajo la apariencia de un programa utilizado para recompensar a los investigadores de seguridad por identificar vulnerabilidades, conocido como “bug bounty”, A cambio, los dos hackers acordaron no revelar que habían robado los datos. Los hackers se declararon posteriormente culpables por su papel en el incidente.

El hackeo de octubre de 2016 permaneció en secreto hasta el mes de noviembre siguiente, cuando fue revelado por el nuevo consejero delegado, Dara Khosrowshahi, a los tres meses de su mandato. Al mismo tiempo, despidió a Sullivan.

Khosrowshahi declaró que, tras descubrir incoherencias en el relato de Sullivan sobre lo ocurrido, decidió que era el momento de sustituir a su jefe de seguridad. “Ya no podía confiar en su juicio”, dijo.

La defensa de Sullivan fue que el departamento jurídico de Uber y otros directivos estaban al tanto del incidente antes de que estallara públicamente.

Angeli cuestionó la noción de encubrimiento señalando que Sullivan compartió información con numerosos empleados, antes de que Khosrowshahi llegara a la empresa. A los jurados se les mostró un texto de la 1:24 de la madrugada que Sullivan envió a Kalanick describiendo la brecha menos de 12 horas después de que ocurriera.

“Recuerden que el señor Kalanick es la persona más importante de Uber”, dijo Angeli en los argumentos finales. “El señor Sullivan no podría haber informado de esto a alguien más alto en la empresa”.

Los fiscales argumentaron que Sullivan, que se unió a Uber en 2015, era muy consciente de los requisitos para revelar la brecha, especialmente después de los tratos de la compañía con la FTC sobre el hackeo de 2014.

Sullivan, quien se suponía que había mejorado la seguridad después de la violación anterior, no quería que se divulgaran los detalles del nuevo ataque porque habría dañado su reputación, dijo el fiscal Ben Kingsley al jurado. En lugar de revelarlo, Sullivan “dio prioridad a su reputación, y a la de la empresa, por encima de sus obligaciones”, dijo.

Sullivan no testificó, ni tampoco Kalanick.

El caso es Estados Unidos contra Sullivan, 20-cr-00337, Tribunal de Distrito de Estados Unidos, Distrito Norte de California (San Francisco).