Uber descubrió que su red informática había sido violada el jueves, lo que llevó a la compañía a desconectar varios de sus sistemas de ingeniería y comunicaciones internas mientras investigaba el alcance del ataque.

La brecha aparentemente comprometió muchos de los sistemas internos de Uber, y una persona que se atribuyó la responsabilidad del ataque envió imágenes de correo electrónico, almacenamiento en la nube y repositorios de códigos a los investigadores de seguridad cibernética y al New York Times.

“Prácticamente tienen acceso completo a Uber”, dijo Sam Curry, un ingeniero de seguridad de Yuga Labs que mantuvo correspondencia con la persona que afirmó ser responsable de la violación. “Este es un compromiso total, por lo que parece”.

Un portavoz de Uber dijo que la compañía estaba investigando la violación y contactando a los funcionarios encargados de hacer cumplir la ley.

A los empleados de Uber se les indicó que no usaran el servicio de mensajería interna de la empresa, Slack, y descubrieron que otros sistemas internos eran inaccesibles, dijeron dos empleados que no estaban autorizados a hablar en público.

Poco antes de que el sistema de Slack fuera desconectado el jueves por la tarde, los empleados de Uber recibieron un mensaje que decía: “Anuncio que soy un hacker y Uber ha sufrido una filtración de datos”. El mensaje pasó a enumerar varias bases de datos internas que, según el hacker, habían sido comprometidas.

El hacker comprometió la cuenta de Slack de un trabajador y la usó para enviar el mensaje, dijo el portavoz de Uber. Al parecer, el pirata informático más tarde pudo obtener acceso a otros sistemas internos, publicando una foto explícita en una página de información interna para los empleados.

La persona que se atribuyó la responsabilidad del ataque le dijo a The New York Times que había enviado un mensaje de texto a un trabajador de Uber que decía ser una persona de tecnología de la información corporativa. Se persuadió al trabajador para que entregara una contraseña que permitiera al hacker acceder a los sistemas de Uber, una técnica conocida como ingeniería social.

“Este tipo de ataques de ingeniería social para afianzarse en las empresas de tecnología ha ido en aumento”, dijo Rachel Tobac, directora ejecutiva de SocialProof Security, la Sra. Tobac señaló el hackeo de Twitter de 2020, en el que los adolescentes usaron ingeniería social para ingresar a la empresa. Se utilizaron técnicas de ingeniería social similares en infracciones recientes en Microsoft y Okta.

“Estamos viendo que los atacantes se están volviendo inteligentes y también están documentando lo que funciona”, dijo la Sra. Tobac. “Ahora tienen kits que facilitan la implementación y el uso de estos métodos de ingeniería social. Se ha convertido casi en un producto básico”.

El hacker, que proporcionó capturas de pantalla de los sistemas internos de Uber para demostrar su acceso, dijo que tenía 18 años y que había estado trabajando en sus habilidades de ciberseguridad durante varios años. Dijo que había irrumpido en los sistemas de Uber porque la empresa tenía poca seguridad. En el mensaje de Slack que anunció la violación, la persona también dijo que los conductores de Uber deberían recibir un salario más alto.

La persona parecía tener acceso al código fuente, correo electrónico y otros sistemas internos de Uber, dijo Curry. “Parece que tal vez sea este niño que se metió en Uber y no sabe qué hacer con él, y está pasando el mejor momento de su vida”, dijo.

En un correo electrónico interno visto por The New York Times, un ejecutivo de Uber les dijo a los empleados que el ataque estaba bajo investigación. “En este momento no tenemos una estimación de cuándo se restablecerá el acceso completo a las herramientas, así que gracias por su paciencia”, escribió Latha Maripuri, directora de seguridad de la información de Uber.

No era la primera vez que un hacker robaba datos de Uber. En 2016, los piratas informáticos robaron información de 57 millones de cuentas de conductores y pasajeros y luego se acercaron a Uber y exigieron $100,000 para eliminar su copia de los datos. Uber arregló el pago pero mantuvo la violación en secreto durante más de un año.

Joe Sullivan, quien era el principal ejecutivo de seguridad de Uber en ese momento, fue despedido por su papel en la respuesta de la empresa al ataque. El Sr. Sullivan fue acusado de obstruir la justicia por no revelar la infracción a los reguladores y actualmente está siendo juzgado.

Los abogados de Sullivan han argumentado que otros empleados eran responsables de las divulgaciones reglamentarias y dijeron que la empresa había convertido a Sullivan en el chivo expiatorio.