Joseph Sullivan era el jefe de seguridad de Uber en 2016. En ese entonces, la compañía sufrió un ciberataque que permitió a los piratas informáticos aprovechar una vulnerabilidad para descargar los datos personales de hasta 600 mil conductores e información adicional vinculada a 57 millones de conductores y pasajeros de Estados Unidos.

Tras seis años del incidente de seguridad, Sullivan fue declarado culpable por no haber revelado e informado a las autoridades correspondientes sobre la violación de datos de clientes y conductores, según informó el New York Times.

El jurado culpó a Sullivan por dos cargos: uno por obstruir la investigación de la Comisión Federal de Comercio (FTC) y otro por ocultar un delito grave a las autoridades estadounidenses. La sentencia no ha sido dictada pero se estima que podría enfrentar hasta ocho años en la cárcel.

El final de esta oscura etapa de Uber también marca un precedente, ya que el caso de Sullivan es el primero de un ejecutivo de seguridad que enfrenta cargos penales por un ataque cibernético.

De acuerdo con expertos de derecho internacional, el caso podría cambiar la forma en que los próximos profesionales de la ciberseguridad manejan las filtraciones de datos y en cómo se manejan los programas de recompensas por detección de errores.

Según los testimonios, la presión por conservar su puesto y reputación como directivo de seguridad llevaron a Sullivan a cometer errores tales como:

• Ocultar la información sobre la violación de datos a la FTC. Tardaron más de un año en reportar el hackeo. 
• Gestionar el pago de 100 mil dólares a los piratas informáticos para evitar que revelaran la información filtrada y obligarlos a firmar acuerdos de confidencialidad.
• El desvió del pago del soborno a través del programa de recompensas por errores, que está destinado a pagar a hackers de “guante blanco” que ayudan a detectar vulnerabilidades de seguridad en las plataformas de tecnología.

Uber cooperó con los fiscales en el juicio contra Sullivan para evitar cargos penales, luego de haber aceptado la responsabilidad que tuvo el papel del liderazgo de Travis Kalanick al ayudar a Sullivan a encubrir el hackeo.

La empresa de movilidad como servicio también pagó 148 millones de dólares para resolver las demandas por haber tardado demasiado en revelar la filtración. La entrada de Dara Khosrowshahi como nuevo director Ejecutivo de Uber ha marcado un cambio interno en torno a cómo se maneja la transparencia. Khosrowshahi fue el primero en obligar a Sullivan a comunicar el hackeo y lo despidió en 2017 porque “ya no podía confiar en su palabra como jefe de seguridad”.

El jurado señaló a un malo del cuento, pero en este nuevo capítulo Uber tendrá que trabajar duro para mejorar la seguridad de su plataforma y no volver a cometer los mismos errores.

El Tribunal del Mercado de Bruselas desestimó la apelación de IAB Europa, la asociación que agrupa el ecosistema de empresas de publicidad y marketing digital en la Unión Europea (UE), en torno al caso de violación al Reglamento General de Protección de Datos (RGPD) por parte de su Marco de Transparencia y Consentimiento (TCF, por sus siglas en inglés).

Asimismo, Bruselas acordó remitir otras cuestiones legales que fueron motivo de la apelación de IAB al Tribunal Supremo de Justicia de la UE. Las preguntas se centran en el papel de la organización como controlador de datos conjunto y si la llamada “cadena TC” (una cadena de caracteres numéricos que reflejan las preferencias de los usuarios) puede considerarse como información personal. La IAB argumenta que no.

“Que el Tribunal de Apelación de Bruselas haya remitido nuestras preguntas al Tribunal de Justicia de la Unión Europea muestra la importancia de este caso”, dijo Johnny Ryan, miembro principal del Consejo Irlandés para las Libertades Civiles y denunciante principal.

“La sentencia de hoy es el siguiente paso en nuestro esfuerzo por poner fin a las ventanas emergentes de consentimiento que han acosado a los usuarios de Internet en Europa durante años. Ahora esperamos las respuestas del Tribunal de Justicia”.

Entérate: Instagram recibe multa récord en Europa por no proteger datos de adolescentes

IAB Europa fue multada con 250 mil euros a principios de este año por la Autoridad de Protección de Datos de Bélgica, tras una larga investigación que determinó que el TCF infringe de múltiples formas el RGPD. Bajo el dictamen del regulador belga, la IAB también estaba obligada a presentar un plan para mejorar el TCF bajo un estándar “transparente, comprensible y de fácil acceso”.

En esencia, el TCF es un mecanismo que usa la industria publicitaria en forma de ventanas emergentes en sitios Web para obtener el consentimiento de los usuarios europeos con el objetivo de justificar la recopilación y procesamiento de sus datos, que a la vez son compartidos con una serie de “socios” para subastarse en anuncios dirigidos en línea.

Ahora queda esperar el fallo del Tribunal de Justicia de la UE, el cual puede tardar fácilmente hasta dos años. Por su parte, la autoridad belga dijo que analizará más a fondo el caso pero declaró estar “satisfecho con la decisión”, en especial porque permitirá aclarar conceptos claves del RGPD como la definición de controlador de datos y su aplicabilidad en el diseño de marcos regulatorios.

Los costos por filtraciones de datos se incrementaron en un 9.35 por ciento año con año hasta un promedio de 2.8 millones de dólares en América Latina, su mayor nivel registrado desde que se comenzó a realizar la encuesta, según revela la más reciente edición del informe Cost of a Data Breach elaborado por IBM.

El reporte de 2022 revela que a nivel mundial los costos por filtraciones de datos alcanzaron su máximo histórico con un promedio de 4.35 millones de dólares (mdd), lo que representa un aumento de 2.6 por ciento respecto al año pasado, cuando el costo promedio de una violación fue de 4.24 millones de dólares.

El informe advierte que el coste medio ha subido un 12.7 por ciento desde los 3.86 millones de dólares registrados en el informe de 2020. Estados Unidos reporta el mayor costo promedio por filtración en 9.44 millones, seguido por el Medio Oriente (7.46 mdd). Brasil, por su parte, reportó un crecimiento de 27 por ciento del costo promedio por filtración hasta un máximo de 1.38 millones de dólares.

Por vertical, el reporte revela que la industria de la salud registra el mayor costo por filtración en 10.10 millones de dólares, seguido por servicios financieros con 5.97 millones, farmacéutica en 5.01 millones y tecnología con 4.97 millones de dólares.

En América Latina, las industrias que observaron el mayor costo por registro en una filtración son salud (128 mdd), servicios financieros (124 mdd) y el sector servicios (111 mdd).

El reporte desglosa el costo por pérdida en cuatro categorías: pérdida de negocios, detección y escalada, notificación y respuesta posterior a la filtración. Según el informe de 2022, la mayor parte de los costos de filtración de datos fue la detección y la escalada que aumentaron 16.1 por ciento a 1.44 millones de dólares en este año.

Esta categoría incluye costos por actividades que permiten a una empresa detectar razonablemente una infracción, tales como actividades forenses y de investigación; servicios de evaluación y auditoría; gestión de crisis; y comunicaciones a ejecutivos y directorios.

Los costos por pérdida de negocios reportaron una reducción de 10.6 por ciento hasta un total de 1.42 millones de dólares en el 2022, mientras que los costos por respuesta posterior a la filtración se elevaron en 1.18 millones de dólares y los relacionados a la notificación se incrementaron a 0.31 millones.

Este creciente costo de la violación de datos ha comenzado a impactar también los precios de bienes y servicios digitales para los consumidores, ya que 60 por ciento de las organizaciones encuestadas a nivel global admitió haber incrementado su precios debido a una filtración.

Detección y punto de quiebre

En general, la encuesta realizada entre 550 organizaciones encontró que 83 por ciento de estas ya han experimentado más de una filtración de datos, mientras que sólo 17 por ciento indicó que registró su primera filtración en el último año.

Por otro lado, el tiempo promedio en América Latina para identificar y contener una filtración de datos fue de 331.5 días en 2022, una reducción de casi 25 días en comparación con el año anterior. A nivel global, las organizaciones lograron identificar una brecha en 207 días, 10 días menos que lo registrado el año pasado. El periodo de contención se redujo también de 75 a 70 días, en promedio.

El informe también evaluó cuáles fueron los principales vectores de ataque, al identificar las credenciales robadas o comprometidas como las principales responsables con el 19 por ciento de las infracciones de datos registradas por el estudio, con un costo promedio de 4.50 millones de dólares.

Al robo de credenciales, le siguen phishing con el 16 por ciento de las infracciones, configuración incorrecta de la Nube en un 15 por ciento y vulnerabilidad en software de terceros con un 13 por ciento.

Relacionado: ¡Alerta! América Latina se encuentra bajo ataque de ransomware

En particular, respecto a las industrias de infraestructura crítica como servicios financieros, salud, transporte o tecnología, se encontró que el ransomware y los ataques destructivos representaron el 28 por ciento de las filtraciones, lo que pone de manifiesto que los atacantes buscan fracturar las cadenas de suministro globales que son la columna vertebral de la economía, según detalla IBM.

Según el informe, las víctimas de ransomware del estudio que optaron por pagar el rescate sólo vieron una disminución de 630 mil dólares en el costo promedio de la filtración en comparación con aquellas que no lo hicieron, sin incluir el costo del rescate.

IBM advierte que si se tiene en cuenta el elevado precio de los rescates (mayor a 800 mil dólares), el costo financiero puede ser aún mayor, lo que sugiere que la opción de pagar el rescate, por sí solo no es una estrategia eficaz. Además implica mayores riesgos como financiar inadvertidamente futuros ataques, e incluso incurrir en posibles delitos federales.

Uso de automatización e IA

Por quinto año consecutivo, el informe exploró el uso de soluciones de automatización e Inteligencia Artificial (IA) en sus estrategias de seguridad. IBM señala que aquellas organizaciones que utilizaron estas herramientas incurrieron en un costo promedio menor y lograron un ahorro de 65.2 por ciento frente a las que no. Además su tiempo de detección y contención es menor: 2.5 meses más rápido.

El 62 por ciento de las organizaciones admitió no tener suficiente personal para cubrir las necesidades relacionadas con la seguridad, lo que se traduce en una media de 550 mil dólares más en costos de filtraciones frente a las que sí cuentan con los recursos profesionales.

El 73 por ciento de las empresas tiene planes de Respuesta a Incidentes, pero el 37 por ciento no lo prueba regularmente. Se observa un ahorro del 58 por ciento en costo promedio por filtración de datos para las organizaciones que tienen equipo de Respuesta a Incidentes y prueban periódicamente su plan.

El gobierno de India ha pedido a sus ciudadanos descargar la aplicación de rastreo para coronavirus Aarogya Setu, a fin de controlar mejor la infección y mitigar la propagación. Hasta el momento, se ha descargado más de 90 millones de veces en un país con una base de usuarios de teléfonos inteligentes de aproximadamente 500 millones, informó AP News.

No obstante, la tecnología que utiliza GPS y Bluetooth, ha generado serios cuestionamientos respecto a la privacidad, seguridad y posibles violaciones de datos.

La aplicación desarrollada por el gobierno, de acuerdo a Ravi Shankar Prasad, un ministro de alto rango, cuenta con una “robusta” protección de privacidad y seguridad de datos. Sin embargo, las declaraciones no son suficientes y el enfoque de India es alarmante, en un país que carece de ley de privacidad de datos.

El gobierno ha exigido que empleados públicos y privados descarguen Aarogya Setu, además, los pobladores de regiones declaradas como zonas de contención también deben descargar la aplicación de forma obligatoria. Lo mismo sucede con indios repatriados, antes de entrar al país deben instalarla en sus teléfonos móviles.

Hasta el momento, el gobierno no ha aclarado si planea imponer multas a las personas que no instalen la aplicación, pese a la ayuda que ha proporcionada en el país del sur de Asia con más de 56 mil casos confirmados de coronavirus y mil 800 muertes.

Recomendado: Apple y Google avanzan en su primera API de rastreo de coronavirus

Abhishek Singh, director Ejecutivo de MyGovIndia, que desarrolló Aarogya Setu, dijo que la aplicación “no revelará los datos personales de nadie” y que los “datos en la aplicación son completamente seguros”.

Aún con ello, organizaciones de derechos de privacidad instaron al gobierno a hacer público el código fuentes de la aplicación para aumentar la transparencia, mientras que Rahul Gandhi, líder del partido opositor del congreso, llamó a la aplicación “un sofisticado sistema de vigilancia”.

La violación de privacidad no es un tema nuevo para India, ya que en 2018 fue violada una controvertida base de datos biométrica llamada “Aadhaar”, que puso en riesgo los detalles de identidad de más de mil millones de ciudadanos.

Asimismo, varios estados indios publicaron listas de cuarentena en sus sitios web oficiales, que incluyen nombres de personas sospechosas de ser portadoras de coronavirus. Aarogya Setu sólo profundiza las preocupaciones de los expertos por las escalas de la violación de privacidad.

El Tiempo

En 2018 la cadena hotelera Marriott reveló que sufrió un ataque cibernético que significó el robo de los datos de 500 millones de personas. Y este martes, la cadena informó que fue hackeada y los datos de 5,2 millones de huéspedes que usaron la aplicación de lealtad de la compañía fueron hurtados 

La cadena hotelera se habría enterado de la brecha de seguridad a fines de febrero, cuando se dio cuenta que un hacker había utilizado las credenciales de inicio de sesión de dos empleados de una de sus franquicias para acceder a la información del cliente alojadas en los sistemas de la aplicación.

Marriot señaló que el ataque a la data se dio a mediados de enero, pero no reveló detalles adicionales sobre cómo sucedió. Sin emargo, la cadena de hoteles sí dijo que los intrusos tuvieron acceso directo a los siguientes datos de fidelidad de Marriott Bonvoy:

Datos de contacto (nombre, dirección postal, dirección de correo electrónico y número de teléfono); Información de la cuenta de fidelidad (número de cuenta y saldo de puntos, pero no contraseñas). Detalles personales adicionales (empresa, sexo y día y mes de cumpleaños) Asociaciones y afiliaciones (Programas y números de fidelización de aerolíneas vinculadas). Así mismo, de preferencias (preferencias de estancia / habitación y preferencia de idioma).

No obstante, voceros del hotel anunciaron que, tras la investigación, no creía que el pirata informático hubiese tenido acceso a las contraseñas, los PIN de la cuenta, la información de la tarjeta de pago, la información del pasaporte, las identificaciones nacionales o los números de licencia de conducir de la cuenta.

En ese sentido, Marriott lanzó una página web en la que los usuarios de la aplicación pueden verificar si son uno de los 5,2 millones de usuarios afectados por la violación de seguridad y a qué datos podría haber accedido el hacker.

Facebook no termina con las demandas vinculadas con el caso de Cambridge Analytica. Ahora, el Comisionado de Información de Australia acusa a la red social de haber violado la privacidad de más de 300 mil australianos afectados por la filtración de datos.

En la demanda presentada ante una corte federal se alega que Facebook violó la ley de privacidad australiana, porque los datos recopilados por la red social pasaron a través de la aplicación “This is Your Digital Life”, de Cambridge Analytica, con fines políticos.

De acuerdo con la comisionada australiana Angelene Falk, la “configuración predeterminada de Facebook facilitó la filtración de información personal, incluyendo información confidencial a expensas de la privacidad de los usuarios”.

Además, la comisionada dijo que el diseño de Facebook dificulta que los usuarios puedan controlar cómo se divulgan sus datos. Hasta el momento, la red social no ha dado información a la comisionada sobre qué usuarios australianos se vieron afectados.

A pesar de que la comisionada señaló múltiples infracciones por parte de Facebook, no indicó si se buscaría una sanción para recompensar a los 311 mil 127 usuarios afectados.

Los datos de más de 10 millones de brasileños podrían haber sido comercializados en la tienda virtual de la empresa BaseUp. La Unidad Especial de Protección de Datos e Inteligencia Artificial (Espec) del Ministerio Público del Distrito Federal y Territorios (MPDFT) 

informó que ha iniciado una investigación civil pública contra la compañía.

Según Espec, BaseUp presuntamente proporcionó nombre completo, número de identificación y CPF de ciudadanos, dirección y los medios para contactarlos. La información se ofrece en paquetes y de forma segmentada. En el menú es posible, por ejemplo, elegir el estado de origen de los datos.

En la tienda virtual BaseUp, que está anclada en el sitio web institucional de la compañía, cualquiera puede comprar la información personal de miles de brasileños. Los precios varían, pero con 300 reales es posible comprar una base de datos de Brasilia con información de 21 mil 114 registros, separados por región administrativa.

Recomendado: Brasil planea convertir protección de datos personales en un derecho constitucional

En la investigación, Espec sostiene que la Constitución Federal establece que la intimidad, la vida privada, el honor y la imagen de las personas son inviolables, lo que garantiza el derecho a una indemnización por daños materiales o morales resultantes de su violación.

El MPDFT también establece que el Marco Civil de Internet garantiza a los usuarios el derecho a la inviolabilidad de los datos personales, incluidos los registros de conexión y acceso.

Además de abrir una investigación, Espec solicitó al Centro de Información y Coordinación de Ponto Br que congele el dominio de BaseUp y confirme la identidad de la persona responsable del registro.

Luego de un largo tiempo de investigaciones, la Comisión Federal de Comercio de Estados Unidos (FTC) anunció formalmente el acuerdo pactado con Facebook de pagar una suma de 5 mil millones de dólares por el escándalo de Cambridge Analytica y otras violaciones de privacidad. Dicho acuerdo supone la segunda cifra más grande cobrada por la FTC a una empresa tecnológica en la historia.

El acuerdo presentado hoy por la FTC alega que Facebook violó la ley al no proteger los datos de terceros, publicando mediante el uso de números de teléfono proporcionados por seguridad y mintiendo a los usuarios de que su software de reconocimiento facial estaba desactivado de forma predeterminada.

Entre las condiciones impuestas por la FTC, se pide que Facebook revise la privacidad de cada nuevo producto o servicio que desarrolló; las revisiones tiene que ser enviadas al CEO y a un asesor externo cada trimestre firmando cada una de las revisiones.

“La Orden impone un régimen de privacidad que incluye una nueva estructura de gobierno corporativo, con responsabilidad corporativa e individual y un monitoreo de cumplimiento más riguroso” dijeron los comisionados de la FTC.

Asimismo, el software de reconocimiento facial de Facebook es tocado por el acuerdo y se requirió que bajo las nuevas reglas, la compañía obtenga el consentimiento afirmativo para crear modelos de reconocimiento facial.

De forma similar, la compañía con sede en Menlo Park, California, dio fin a la investigación hecha por la Comisión de Bolsa y Valores (SEC).

La SEC alegó que se debió tener procesos para garantizar la divulgación a los inversores de abusos de datos, por ello resolvieron pagar 100 millones de dólares para no revelar la violación a los inversores.

Según el informe de The Washington Post, la FTC votó a favor de aprobar la multa de 5 mil millones de dólares a lo largo de las líneas del partido, y los miembros de la minoría demócrata rechazaron el acuerdo como insuficiente.

El Post encontró que los comisionados demócratas estaban particularmente preocupados de que Mark Zuckerberg y otros ejecutivos de alto nivel estuvieran exentos de cualquier responsabilidad personal por las violaciones.

Otro desacuerdo fue el de la comisionada Rebecca Kelly Slaughter, quien criticó la decisión de liberar a Mark Zuckerberg y otros altos ejecutivos de cualquier responsabilidad personal. “En lugar de aceptar este acuerdo, creo que deberíamos haber iniciado un litigio contra Facebook y su CEO, Mark Zuckerberg”, escribió Slaughter en su desacuerdo.

Los comisionados se reunieron con miembros del Congreso el lunes para exponer los detalles del acuerdo, que, según informes, parecieron insuficientes para parte de los críticos de tecnología en el Congreso.

Facebook no se pudo defender de una demanda por violación de datos que afectó a 30 millones de usuarios, descrita como la peor violación de seguridad en la historia de la red social, informó Bloomberg.

Una corte federal de San Francisco rechazó la solicitud de Facebook para bloquear la demanda, asegurando que las acusaciones pueden proceder por negligencia y por no garantizar la seguridad de los usuarios.

Por su parte, Facebook argumentó que había sido víctima de un ataque cibernético y que no era responsable de las acciones de los delincuentes.

La compañía negó que los hackers hayan accedido a datos sensibles como tarjetas de crédito o contraseñas; esto pudo salvar a los usuarios de un daño real.

Los abogados de los usuarios demandantes respondieron a ese argumento diciendo en un acta judicial que Facebook busca evitar toda obligación.

La compañía de Mark Zuckerberg no ha respondido a los comentarios.