Joe Sullivan, antiguo responsable de ciberseguridad del gigante americano Uber, no pisará la cárcel tras ocultar un ataque de ransomware a la compañía hace unos años y hacer varias maniobras para que ni las autoridades, ni los usuarios, ni sus empleados ni sus inversores se enteraran de lo sucedido.
Finalmente, la justicia americana lo ha condenado a 3 años de libertad condicional, evitando así el tiempo en prisión.
Sullivan también fue fiscal general y después de abandonar Uber por la polémica fue fichado como CISO de Cloudflare.
El incidente ocurrió en 2016. Sin embargo, el responsable de seguridad de la compañía americana entre 2015 y 2017, habría obrado para que nada saliera a la luz durante más de un año.
Todo se destapó en 2017. La cadena de ataque se inició porque alguien en Uber publicó en GitHub código fuente de Uber, pero de manera accidental incluyó un directorio en el que había credenciales de acceso.
Los actores de amenazas se hicieron con ellas y las usaron para explorar en los datos que Uber tenía alojados en Amazon Web Services. El resultado fue que sus servidores fueron comprometidos y se filtró información de más de 50 millones de usuarios del servicio de transporte y 7 millones de conductores.
De estos últimos se expusieron los números de permiso de conducir de unos 600.000 chóferes y los números de seguro social de unos 60.000.
En todo este intervalo Uber llegó a pagar un rescate de 100.000 dólares a cambio de que se borrara la información robada. Además, la empresa pidió a los cibermalos que firmaran un acuerdo de confidencialidad para ocultar a la opinión pública, los empleados y los inversores lo sucedido. Para maquillarlo todo, al directivo se le ocurrió encubrirlo como una especie de recompensa a los hackers para que encontraran errores en sus sistemas.
Obviamente, Sullivan optó por no informar de lo sucedido a las autoridades y reguladores y y aun menos ponerlo en conocimiento de los afectados.
Se enfentraba a 8 años de cárcel
Por todas estas estratagemas a Sullivan se le acusó, por un lado, de obstrucción a los procedimientos de la Comisión Federal de Comercio (FTC), que vela por los derechos de los consumidores en EE.UU. y, por otro, de encubrir un delito.
En octubre un jurado de la corte federal de EE.UU declaró culpable al ex CISO de Uber por no informar a las autoridades competentes. Sullivan fue condenado por ambos cargos. En principio se pedían un máximo de cinco años de prisión, por el cargo de obstrucción y un máximo de tres años por el de gestión negligente del robo de datos críticos de la compañía.