La empresa de transporte Uber ha sufrido un ciberataque masivo, cuyas dimensiones se desconocen todavía. El autor, un joven de dieciocho años, lo anunció así a la empresa: «Soy un hacker y Uber ha sufrido una violación masiva de datos.»
¿Cómo se dio a conocer la noticia?
El periódico estadounidense The New York Times adelantó la primicia sobre lo que los medios nacionales españoles llaman ya «el hackeo de Uber.» Fue este periódico el elegido por el jovencísimo ciberdelincuente para enviar una selección de imágenes de correo electrónico, almacenamiento en la nube y repositorios de códigos. Entre tanto, otros datos compartidos por el pirata informático fueron apareciendo en las redes y en distintos lugares de Internet. Las capturas de pantalla demostraban que había accedido a datos financieros privados y a bases de datos internas.
«Anuncio que soy un hacker y que Uber ha sufrido una violación masiva de datos»
En el transcurso del ‘ciberasalto’ contra Uber, dos trabajadores de la compañía dijeron haber recibido la orden de no usar la app de mensajería Slack, el medio de comunicación interna de la empresa. Poco antes de que el sistema fuera desconectado, todos los empleados de Uber recibieron este mensaje vía Slack: «Anuncio que soy un hacker y que Uber ha sufrido una violación masiva de datos.» El pirata digital habría accedido después a otros sistemas internos, publicando una foto explícita en una página de información interna para los empleados.
Uber alude al suceso en su cuenta informativa de Twitter
Resultaba tan inverosímil que costaba creerlo, pero en la madrugada del jueves 15 al viernes 16 la cuenta de Uber en Twitter aludió al asunto. «En estos momentos estamos abordando un episodio relacionado con la ciberseguridad. Nos hemos puesto en contacto con las fuerzas del orden e iremos dando aquí actualizaciones sobre el asunto conforme vaya avanzando.»
We are currently responding to a cybersecurity incident. We are in touch with law enforcement and will post additional updates here as they become available.
— Uber Comms (@Uber_Comms) September 16, 2022
Modus operandi del ciberdelincuente
El primer paso fue dirigirse a un empleado de Uber y enviarle una cantidad abrumadora de notificaciones de inicio de sesión con autentificación multifactor. Al cabo de una hora, el mismo empleado recibió un WhatsApp de un supuesto técnico informático de Uber. Este falso técnico aseguró que las sesiones de verificación MFA cesarían si el incauto trabajador permitía el inicio de sesión. Este tipo de ciberataque, a menudo llamado de ‘fatiga MFA’ o ‘por agotamiento‘, aprovecha los sistemas de autenticación cuyos propietarios de cuenta aprueban un inicio de sesión con una notificación automática en su propio dispositivo, en vez de usar otros métodos como un código generado aleatoriamente.
Este año Uber admitió haber silenciado otro ciberataque masivo
En mayo de este año Uber ha confesado públicamente que en 2026 silenció uno de los mayores ciberataques de la historia. En aquella ocasión se determinó que los ladrones digitales obtuvieron los datos de 57 millones de clientes y conductores de la empresa. La admisión abierta de este encubrimiento procedía de un acuerdo negociado con el Departamento de Justicia de los Estados Unidos para eludir un encausamiento penal.
Archivado en:
