Uber acumula demandas en EU por robo masivo en su base de datos

Los afectados presentaron 13 querellas 

Emilio Godoy / Reportaje/ Prisma Internacional / APRO

Ciudad de México .- Uber terminará un año desastroso para su reputación. 

La razón: las demandas judiciales en su contra se acumulan en cortes estadunidenses debido al robo masivo de su base de datos, un proceso que será prolongado y costoso para la empresa.

A raíz de que Uber reconoció que la seguridad de los datos de 57 millones de usuarios y pilotos (data breach) fue vulnerada, los afectados han presentado al menos 13 querellas ante tribunales de Estados Unidos que posiblemente sean conjuntadas en un gran “multi-litigio”.

En uno de los expedientes mencionados, consultado por Apro, Alejandro Flores, avecindado en Los Ángeles, acusa a Uber Technologies Inc., y sus filiales Rasier LLC y Rasier-CA LLC, de violación de contrato implícito, negligencia, quebrantos a la Ley de Competencia Desleal de California, prácticas empresariales desleales y engañosas; invasión constitucional de la privacidad; incumplimiento del deber de buena fe y trato justo, así como de violación de la privacidad de los datos.

El legajo, identificado con la clave 2:17-cv-850, y de 37 páginas de extensión, arguye que el acusador sufrió daño a causa de “las acciones indebidas e inacciones” de Uber, que derivó en que la información fuese robada por hackers.

La demanda sindica a la compañía, con sede en San Francisco y que conecta a taxistas con pasajeros vía una aplicación digital, el fallar en aplicar y mantener “procedimientos y prácticas de seguridad razonablemente adecuadas” a la naturaleza y alcance de la información comprometida en el data breach.

“Muchos de los usuarios que programaron traslados han visto comprometida su información personal, violado su derecho a la privacidad, expuestos al fraude y el robo de identidad”, se argumenta en el documento, presentado el 21 de noviembre por Michael Fuller, abogado del despacho Olsen Daines PC, ante la Corte del Distrito Central de California.

Las secuelas de la falla de Uber, que no obtuvo el consentimiento del acusador para revelar su información personal, son “severas”.

El documento señala que el acusador ha sido colocado en un riesgo de daño “inminente, inmediato y continuo” por robo de identidad y fraude, lo cual requiere tiempo y esfuerzo para mitigar el impacto real y potencial del data breach.

Usuarios enfurecidos

En octubre de 2016, atacantes desconocidos robaron 57 millones de datos personales --entre ellos, 50 millones de usuarios en el mundo--, como nombres, e-mails, números de teléfono y de tarjetas de crédito-- de una base sin protección adecuada subida a la plataforma de desarrollo de software GitHub.

Además, accedieron a la información de 7 millones de choferes, incluyendo unos 600 mil números de licencias de conducir de pilotos estadunidenses.

Uber aceptó la intromisión apenas el 21 de noviembre de este año y reconoció también haber pagado 100 mil dólares a los ladrones para recuperar la información. Ambas conductas enfurecieron a los usuarios que, por ello, han acudido a los tribunales.

En otra demanda, entablada el 22 de noviembre ante la División Portland de la Corte del Distrito de Oregón, Medhi Seifian, residente en Portland, acusa a la corporación de negligencia.

El data breach le ocasionó robo de identidad y daño crediticio, que pudo haberse prevenido si la empresa le hubiera notificado en “la manera más expedita posible”, como lo estipula la ley de Oregon, acorde con el expediente 3:17-cv-1879, de 11 páginas y consultado por Apro.

Uber sabía que “su falla en proteger la información personal del acusador de acceso no autorizado causaría riesgos serios de daño crediticio y robo de identidad por años”, acusa la querella, según la cual el quebranto de los datos habría afectado a unos 500 mil usuarios en Oregon.

El quebranto viola los estatutos de privacidad de 13 estados y territorios estadunidenses, según las demandas.

Este periodista conoce varios casos de uso indebido de cuentas de Uber, como clonación de cuentas, cobros no autorizados y cargos a tarjetas de crédito, cuyo origen puede situarse en la extracción de la base de datos en cuestión.

El 29% de víctimas que sufrieron el uso fraudulento de sus datos dedicó un mes o más para resolver los problemas acaecidos, según la Oficina de Estadísticas de Justicia del Departamento de Justicia.

La consultora estadunidense Javelin Strategy Research estima las pérdidas por fraude cibernético en 16 mil millones de dólares en 2016, mil millones más que el año previo.

Antecedentes proféticos

La empresa, que opera en 633 ciudades y emplea a unas 12 mil personas, ya había sufrido transgresiones de datos. A inicios de 2014, un ingeniero de Uber publicó credenciales de acceso a una base de datos en GitHub y a la que hackers accedieron en mayo de ese año, sin que haya indicios del uso indebido de la información. En la vulneración de 2016, los ladrones habrían explotado esa misma vulnerabilidad de seguridad.

La empresa descubrió el quebranto en septiembre de 2014, pero notificó a los afectados y a la Fiscalía General neoyorquina hasta el 26 de febrero de 2015.

Ante una demanda del fiscal general de Nueva York, Uber pactó encriptar el 6 de enero de 2016 la información de geolocalización de los viajes y mejorar sus prácticas de seguridad de datos, aparte de que pagó una multa de 20 mil dólares.

Poco después de la divulgación de ese hackeo, Uber reconoció que los nombres y números de licencia de 50 mil conductores habían sido robados nueve meses antes.

En agosto último, Uber acordó aplicar un programa de privacidad en el arreglo de una queja previa presentada ante la Comisión Federal de Comercio (FTC, por sus siglas en inglés) sobre protección inadecuada de datos

En 2015, trascendió el uso en China de cuentas de Uber hackeadas y ese mismo año aparecieron en el buscador de Google más de tres docenas de viajes compartidos, con direcciones exactas, según la campaña “¿Quién te está conduciendo?”, de la Asociación de Taxis, Limusinas y Transporte para Personas con Capacidades Diferentes de Estados Unidos.

Además, era posible comprar cuentas activas por un dólar en la red oscura o deep web.

Para más vergüeza, la corporación filtró por error números de licencia y de seguridad social de 647 choferes.

El 27 de noviembre la ciudad de Chicago y el condado de Cook anunciaron una demanda en contra de Uber por haber ocultado el data breach. La querella, anunciada por Rahm Emanuel, alcalde de Chicago, y Kim Foxx, fiscal de Cook, alega violaciones a la Ley de Fraude al Consumidor y Prácticas Comerciales Engañosas y el Código Municipal, derivadas de la falla de la aplicación para proteger adecuadamente sus datos. 

Las demandas de la ciudad de Chicago y el condado de Cook buscan el pago de daños civiles y multas por 10 mil dólares por cada violación al marco legal que involucre a un ciudadano de Chicago, por cada día que la violación estuvo vigente.

Por su parte, Flores pide a la Corte mandatar a Uber a utilizar métodos y políticas apropiadas respecto de la recolección, almacenamiento y seguridad de los datos y a revelar específicamente el tipo de información en riesgo. Solicita también la restitución y devolución de ganancias obtenidas indebidamente por Uber, daños y perjuicios por un monto no determinado, así como los costos procesales.

Seifian, el demandante residente en Oregon, reclama “una compensación justa” que garantice que cada consumidor afectado no quedará en quiebra por los costos de remediación del perjuicio.

Varios despachos de abogados especializados en demandas colectivas han llamado a usuarios potencialmente afectados a contactarlos para la eventual presentación de sus casos ante los tribunales

Para Tom Slee, autor del libro en 2015 Lo que es tuyo es mío. Contra la economía colaborativa, el hackeo no es un suceso aislado o accidental, sino una derivación lógica del modelo de negocios de la llamada “economía colaborativa”, de la que empresas como Uber son parte, y que depende de amasar grandes volúmenes de datos y usarlos para promover sus propios servicios.

“Buena parte del debate habla de la cultura de Uber, de no ser cuidadosa con la información de sus usuarios. Pero va más allá. Uber es una empresa que tiene grandes cantidades de inversión y tiene que satisfacer esa inversión, pero como empresa privada no tiene que revelar muchas cosas, financieras y de otro tipo”, dice en entrevista telefónica con Apro.

Esa faceta conduce a “muchas tentaciones, a rincones oscuros, a no comportarse de forma ética”, por satisfacer a los inversionistas.

Para el experto, la corporación ha sido “reservada durante años, de una punta a la otra” y se ha negado sistemáticamente a cooperar con las autoridades cuando surgen acusaciones.

“No ha invertido lo suficente para tratar seriamente los datos de los usuarios”, resalta Slee.

Datos globales de la campaña “¿Quién te está conduciendo?” enumeran 42 muertes atribuidas a conductores de Uber y Lyft, 79 presuntos ataques, 337 presuntos asaltos sexuales y acoso; 14 presuntos secuestros y 89 casos de falsos choferes de los taxis.

Los problemas para Uber pueden ir más allá de la intervención de las autoridades de Estados Unidos, pues sus homólogos de Australia, Gran Bretaña y Filipinas investigan la vulneración. En México, el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos (Inai) pidió a Uber la información sobre cuántos usuarios, choferes y empleados mexicanos fueron afectados, así como las medidas de seguridad aplicadas a la protección de los datos.

Uber ha enfrentado un año desastroso por las acusaciones de sexismo, discriminación, violación de derechos laborales y regulaciones más estrictas.

En septiembre último, Londres decidió el retiro de su licencia de operación por falta de responsabilidad respecto de sus implicaciones en la seguridad pública y la de los usuarios.

El 5 de noviembre, la filtración de los llamados Paradise Papers, un conjunto de archivos sobre evasión y elusión de impuestos en paraísos fiscales, expuso cómo Uber, junto con otras empresas e individuos, usan compañías offshore para esos fines

El Tribunal Europeo de Justicia, con sede en Luxemburgo, empezó el mes pasado a escuchar argumentos sobre una demanda presentada por España para dirimir si Uber es una plataforma digital que vincula a usuarios y taxistas, o si es un servicio de transporte. Su fallo, que podría tomar unos seis meses, podría abarcar a otras compañías del capitalismo digital.

“Muchas ciudades asumieron el riesgo de permitir operar a Uber, la empresa dijo que era el futuro y las ciudades le creyeron. Y ahora descubrieron que esa confianza era exagerada. Entonces, ahora esas ciudades la verán de forma diferente, a la luz de los escándalos. Espero que los gobiernos persigan a Uber y descubran la magnitud del data breach”, sostiene Slee.

Tu opinión es importante

Minuto a Minuto