La Procuraduría General de la República (PGR) reveló que los datos de “posiblemente” 900,000 usuarios mexicanos fueron hackeados a causa de la vulneración que sufrió la empresa UBER en sus sistemas a nivel mundial a finales del 2016. A su vez, la compañía informó en un comunicado que la información comprometida fue eliminada, lo que reduce al mínimo el riesgo de que sea mal utilizada por terceros.   

La PGR notificó que, a través de la Agencia de Investigación Criminal y su Unidad de Investigaciones Cibernéticas y Operaciones Tecnológicas (UICOT), realiza trabajos para evitar que la información robada llegue al mercado negro en internet.  

De acuerdo con los comunicados tanto de la PGR como de UBER México, ambas entidades han trabajado en coordinación al compartir la información disponible en referencia a este incidente, con el fin de que “ningún usuario del servicio vea comprometida su información personal”. La PGR hace referencia a que “posiblemente” los datos de 900,000 usuarios de la plataforma en México fueron vulnerados, aunque no hace distinción entre cuántos de estos son conductores y cuántos son usuarios. UBER México declinó comentar al respecto.    

“Por medio de la colaboración entre la institución y UBER México se ha buscado que los datos plagiados no pongan en riesgo la integridad ni el patrimonio de los usuarios, además de garantizar que la PGR realiza acciones de mitigación y corrección que evitan un ataque futuro”, indicó la PGR.

Después de que se revelara el incidente, en noviembre del 2017, la agencia Bloomberg informó que UBER le pagó a los hackers que exfiltraron la información 100,000 dólares para que la borraran y mantuvieran la vulneración en secreto, esto dentro de su programa de recompensas para la detección de vulnerabilidades o bugbounty.

En su comunicado, UBER México refiere que: “la información comprometida fue eliminada, reduciendo al mínimo el riesgo de que esa información pueda ser mal utilizada por terceros”. Sin embargo, la PGR informó que “trabaja en prevenir que la información filtrada llegue a Internet, particularmente al mercado negro en la Deep y Dark Web”. Esto genera dudas acerca de si efectivamente la información fue eliminada o aun existe el riesgo de que llegue a uno de los inmensos vertederos de datos que se alojan en las ubicaciones menos visibles de internet: la deep y la dark web.

Mitigación y mejoras

Para evitar que este tipo de ataque pueda volver a ocurrir, la PGR explicó que realiza acciones de mitigación y corrección, además de que “ha emitido recomendaciones precisas para que la empresa fortalezca el resguardo y seguridad de la información”. Por su parte UBER México informó que ha compartido con las autoridades las medidas que ha implementado para mejorar los sistemas y mecanismos de protección de datos de la empresa.

Ambas entidades refirieron que ningún dato vinculado a información bancaria de los usuarios y conductores de la plataforma está en riesgo o fue vulnerado durante el hackeo. UBER México agregó que ningún tipo de información relacionada con los historiales de viajes, fechas de nacimiento, números de documentos de identificación y los números de licencias de conducir en el caso de socios conductores fue expuesta durante el incidente y que la información comprometida no es suficiente para que “un tercero pueda acceder a las cuentas de los usuarios afectados”.

En enero pasado, El Economista informó que el INAI, que es el órgano garante de la protección de datos personales en México, recibió una denuncia relacionada con la vulneración y robo de información de socios conductores y usuarios que sufrió la empresa Uber y que se dio a conocer al público en noviembre de 2017.

En un comunicado del 22 de noviembre del 2017, Uber refirió que no podía dar detalles sobre el robo de información —por ejemplo, si hubo usuarios o conductores mexicanos afectados por la vulneración— hasta que concluyera el proceso de notificación del incidente ante las autoridades regulatorias y gubernamentales mexicanas. 

La información robada  incluye nombres, direcciones de email y números de teléfono móvil de 57 millones de cuentas de conductores y usuarios de todo el mundo. La única precisión que Uber había hecho sobre los conductores cuya información fue extraída hace referencia al caso de 600,000 conductores en Estados Unidos, cuyos nombres y números de licencia fueron descargados. Pese a que la empresa indicó que un número muy reducido de conductores de otros países resultaron afectados, la información provista por la PGR no hace distinción entre si los posibles 900,000 usuarios afectados en México eran usuarios o conductores.

rodrigo.riquelme@eleconomista.mx