Ex jefe de seguridad de Uber pagó 100.000 dólares en Bitcoin para cubrir un hack, dice el FBI.

Joseph Sullivan, el antiguo jefe de seguridad de Uber, ha sido acusado de pagar un rescate de 100.000 dólares en Bitcoin para encubrir un hack que comprometió los datos personales de millones de usuarios y conductores de Uber en 2016.

La denuncia penal, anunciada por el Fiscal de los Estados Unidos David Anderson y el Agente Especial Adjunto del FBI a cargo Craig Fair, acusa a Sullivan de "obstrucción de la justicia y encubrimiento de un delito grave" por no haberse puesto en contacto con las autoridades y haber pagado el rescate en su lugar.

Un portavoz de Sullivan dijo: "Los cargos contra el Sr. Sullivan, que es un respetado experto en seguridad cibernética y ex fiscal auxiliar de los Estados Unidos, no tienen ningún mérito". Este caso se centra en una investigación de seguridad de datos en Uber por un gran equipo multifuncional formado por algunos de los principales expertos en seguridad del mundo, incluido el Sr. Sullivan. Si no fuera por los esfuerzos del Sr. Sullivan y su equipo, es probable que los individuos responsables de este incidente nunca hubieran sido identificados".

"Desde el principio, el Sr. Sullivan y su equipo colaboraron estrechamente con los equipos jurídicos, de comunicaciones y otros equipos relevantes de Uber, de acuerdo con las políticas escritas de la empresa. Esas políticas dejaron claro que el departamento legal de Uber, y no el Sr. Sullivan o su grupo, era el responsable de decidir si el asunto debía ser revelado, y a quién," añadió.

¿Quién hackeó a Uber?

Según el documento, entre abril de 2015 y noviembre de 2017, dos individuos se pusieron en contacto con Sullivan por correo electrónico y "exigieron un pago de seis cifras a cambio del silencio". Para respaldar sus demandas, los hackers le dijeron al antiguo CSO que habían conseguido acceso a la base de datos de Uber. Esa base de datos contenía "información de identificación personal" de unos 57 millones de usuarios de Uber, incluyendo los números de licencia de conducir de aproximadamente 600.000 conductores.

"En lugar de informar sobre la infracción de 2016, Sullivan supuestamente tomó medidas deliberadas para evitar que el conocimiento de la infracción llegara a la FTC [Comisión Federal de Comercio]", declaró la denuncia, añadiendo que "Sullivan intentó pagar a los hackers canalizando el pago a través de un programa de recompensa por errores" y "Uber pagó a los hackers 100.000 dólares en Bitcoin en diciembre de 2016, a pesar de que los hackers se negaron a proporcionar sus verdaderos nombres".

A pesar de su anonimato, Sullivan hizo que los hackers firmaran acuerdos de no divulgación, afirmando falsamente que no robaron ni almacenaron ningún dato, según el documento. Además, incluso después de haber sido identificados por el personal de Uber (y posteriormente arrestados), Sullivan supuestamente exigió que los hackers firmaran copias actualizadas con sus nombres verdaderos.

La nueva administración de Uber descubrió y reveló públicamente la brecha de seguridad en noviembre de 2017, según el documento.

"Ocultar información sobre un delito grave a las fuerzas del orden es un crimen", dijo Fair, añadiendo que "Aunque este caso es un ejemplo extremo de un prolongado intento de subvertir las fuerzas del orden, esperamos que las empresas se pongan de pie y tomen nota". No ayuden a los hackers criminales a cubrir sus huellas. No empeore el problema para sus clientes, y no encubra los intentos criminales de robar los datos personales de las personas".

Si es declarado culpable, Sullivan podría enfrentarse a una pena estatutaria máxima de cinco años de prisión por el cargo de obstrucción y un máximo de tres años de prisión por el cargo de encubrimiento, según la denuncia.

" Silicon Valley no es el Salvaje Oeste", resumió Anderson, y añadió que, "No vamos a tolerar el encubrimiento de las empresas. No toleraremos pagos ilegales de dinero por silencio".

Actualización: Este artículo ha sido actualizado con un comentario del portavoz de Sullivan.