Esta semana ha sido Uber, pero la que viene puede ser cualquier otra empresa: incluso la tuya. Y esta vez, el protagonista tenía sólo 18 años: un hacker adolescente se ha colado en los servidores de la multinacional americana de la movilidad. ¿Cómo lo hizo? Sencillo: engañando a varios empleados.
¿Ingeniería social o simple picardía y mala leche?
En las notas de agencia que han informado del hecho se hablaba de que el intruso utilizó “técnicas de ingeniería social”, pero luego, en párrafos interiores se explicaba que el hacker en cuestión “engañó” a varios empleados para conseguir “credenciales y códigos”. Vamos, que de ingeniería social, nada (por muy bien que quede) y de picardía y mala leche, más de la suficiente. El hacker, una vez dentro, se atrevió hasta a utilizar los canales de comunicación interna de la empresa para informar de su hazaña.
¿Qué pretendía?
El joven, en declaraciones al New York Times y en apuntes en redes sociales, se ha limitado a indicar que se limitó a aprovechar un grave descuido de la compañía para “evidenciar” que sus protocolos de seguridad son “muy malos”. Una vez dentro de Uber, el intruso logró la información necesaria para acceder a las cuentas de la compaía en servicios como Amazon AWS o GSuite.
En definitiva: si hubiese querido causar un desastre, podría haberlo hecho. Desde la compañía, se limitan a indicar que están “investigando el ataque”. Por lo visto, el hacker ha aprovechado su excursión por las tripas de Uber para identificar posibles puntos débiles que, ha dicho, podría “revelar” en los próximos meses.
Si yo fuera Uber, hablaría con el chico y, además de garantizarle transporte gratuito para toda su vida, intentaría contratarlo como jefe de ciberseguridad. Al actual, por supuesto, lo pondría a lavar los coches por dentro y por fuera, porque el de esta semana, además, no es el prime ciberataque que registra la compañía: en 2016 un grupo de ciberdelincuentes accedió a los datos de 57 millones de clientes y 600.000 conductores. ¿Cómo se solucionó? Pues, pagando: Uber pagó a los hackers 100.000 euros para que le devolvieran los datos. El chico de esta semana se ha ganado, como mínimo, el doble de esa cifra.