El máximo responsable de la seguridad digital de Uber ha sido condenado por dos cargos: uno, por obstruir la justicia al no denunciar el incidente y otro por cometer errores en el proceso de manejar ese asunto. A consecuencia de esta sentencia condenatoria, Sullivan se enfrenta a un máximo de cinco años de prisión, por el cargo de obstrucción y un máximo de tres años por el de gestión negligente del robo de datos críticos de la compañía.
"Las empresas de tecnología en el Distrito Norte de California recopilan y almacenan grandes cantidades de datos de los usuarios", señaló la fiscal federal Stephanie M. Hinds en un comunicado de prensa posterior al conocimiento de la sentencia. "Esperamos que esas empresas protejan esos datos y alerten a los clientes y a las autoridades competentes cuando los piratas informáticos roben esos datos”. Esta sentencia coorobora que “Sullivan trabajó afirmativamente para ocultar la violación de datos de la Comisión Federal de Comercio y tomó medidas para evitar que los piratas informáticos fueran atrapados".
La violación de los datos de Uber en 2016 se desarrolló del siguiente modo: dos piratas informáticos obtuvieron acceso no autorizado a las copias de seguridad de la base de datos de la compañía de servicios de movilidad. A raíz de este hurto, la compañía de transporte accedió a pagar en secreto un rescate de 100.000 dólares en diciembre de 2016, a cambio de eliminar la información robada.
Uber también hizo que los chantajistas firmaran un acuerdo de confidencialidad. El motivo que sustentaba ese pacto era ocultar a la opinión pública, los trabajadores de la empresa y los inversores lo ocurrido. Para lograrlo, el director de seguridad de Uber dirigió una maniobra según la cual hizo pasar el robo como una recompensa a los cibercriminales por detectar errores digitales de la compañía. Las copias de seguridad contenían datos pertenecientes a 50 millones de usuarios de Uber y siete millones de conductores.
Para complicar aún más las cosas, el incidente ocurrió cuando el Departamento de Justicia de EE. UU. y la Comisión Federal de Comercio (FTC) ya estaban investigando a la empresa por otra filtración de datos, que tuvo lugar el 13 de mayo de 2014. "Después de engañar a los consumidores sobre sus prácticas de privacidad y seguridad, Uber agravó su conducta indebida al no informar a la Comisión de que sufrió otra filtración de datos en 2016, mientras la Comisión investigaba una filtración sorprendentemente similar de la empresa en 2014", señaló la FTC en 2018.
La defensa del ex jefe de seguridad de Uber: todo fue por la seguridad de los clientes
En un comunicado compartido con The New York Times, el equipo legal de Sullivan ha expresado que su único propósito durante el transcurso del incidente y la carrera profesional del ex director de ciberseguridad de Uber ha sido garantizar la "seguridad de los datos personales de las personas en Internet".
Entretanto, los dos piratas informáticos involucrados en el incidente de 2016 esperan sentencia por sus cargos de conspiración de fraude, tras declararse culpables del delito de robo de datos en octubre de 2019.
El efecto llamada y el aprendizaje que han generado este caso
En síntesis, como señala el Departamento de Justicia de Estados Unidos en 2022, "las declaraciones de culpabilidad separadas presentadas por los piratas informáticos demuestran que después de que Sullivan ayudó a encubrir el hackeo de Uber, los piratas informáticos pudieron cometer una intrusión adicional en otra entidad corporativa, Lynda.com, e intentar pedir un rescate económico por esos esos datos también". ha señalado al respecto el Departamento de Justicia.
"El mensaje del veredicto de culpabilidad de hoy es claro: las empresas que almacenan los datos de sus clientes tienen la responsabilidad de proteger esos datos y hacer lo correcto cuando se producen infracciones", ha declarado, a modo de moraleja que se puede extraer del caso, el agente especial a cargo del FBI en San Francisco, Robert K. Tripp, según informan en The Hacker News.