Las consecuencias regulatorias para Uber después de que no dio a conocer una enorme violación de datos comenzaron cuando los reguladores de Reino Unido, Estados Unidos e Italia dijeron que iniciaron investigaciones, lo que presenta el reto más reciente para la firma cuando trata de dejar atrás una serie de crisis autoinfligidas.
El costo financiero y para su reputación por el hackeo representa una importante prueba para Dara Khosrowshahi, el nuevo director ejecutivo de la compañía para solicitar transporte, en un momento en el que ya lucha contra una posible prohibición en Londres y trabaja para finalizar un importante acuerdo de inversión que encabeza SoftBank, el grupo japonés de tecnología.
Durante más de un año Uber no informó a usuarios ni a reguladores sobre la violación de datos de 2016 que incluía nombres, direcciones de correo electrónico y números telefónicos de 50 millones de pasajeros y 7 millones de conductores, admitió la compañía el martes.
Los reguladores respondieron rápidamente, y los funcionarios de varios mercados clave de Uber iniciaron las investigaciones unas horas después de saber la noticia. Una demanda colectiva en nombre de los conductores cuya información quedó comprometida también comenzó en California.
La oficina del fiscal general de Nueva York, que llegó a un acuerdo con Uber sobre sus prácticas de privacidad el año pasado, dijo que comienza una nueva investigación sobre la violación de datos.
Uber se dio cuenta de que lo hackearon a finales del año pasado, pero no lo notificó ni a los reguladores ni a las personas afectadas. También le pagó 100 mil dólares a los hackers para que destruyeran la información que se robaron, dijo la compañía.
La forma como se manejó el incidente plantea nuevas preguntas sobre el criterio de Travis Kalanick, el director ejecutivo de Uber en ese momento, y Joe Sullivan, el director de seguridad, a quien despidieron el martes como consecuencia del incidente.
Los inversionistas echaron a Kalanick en junio, pero se mantiene en el consejo y es propietario de 10 por ciento de la compañía. Un portavoz de Kalanick no quiso hacer comentarios.
El alcance de la violación de datos, en una compañía que es conocida por esquivar las convenciones y las regulaciones, también puede ser una causa para que los inversionistas pregunten si hay más esqueletos en el clóset.
Un consorcio de inversionistas que encabeza SoftBank se prepara para inyectar 10 mil mdd a Uber a través de un acuerdo que puede cerrarse a finales de año si suficientes accionistas de Uber venden sus participaciones a SoftBank a una tasa de descuento.
Los esfuerzos de transformación de Uber incluyen la contratación del nuevo jefe de asuntos jurídicos, Tony West, cuyo primer día en el puesto fue el miércoles.
Para Katie Moussouris, fundadora de Luta Security, probablemente la Comisión de Federal de Comercio de EU (FTC) y los reguladores de la Unión Europea investiguen el hackeo. La FTC no respondió a la petición de comentarios.
“Está claro que Uber se tardó cerca de un año, algo que no parece un plazo razonable” para informar sobre el robo de datos, dijo Moussouris. Si la compañía ocultó el ataque, podría ser penalmente responsable en EU, agregó.
En Reino Unido varias agencias anunciaron que investigan la violación de datos, algo que puede desatar multas más altas para Uber debido a la demora de su divulgación.
“El anuncio de Uber de que se ocultó la violación de datos en octubre pasado plantea enormes preocupaciones en torno a sus políticas de protección de datos y ética”, dijo James Dipple-Johnston, subcomisionado de la Oficina del Comisionado de Información de Reino Unido, que investiga, junto con la Agencia Nacional contra el Crimen y el Centro Nacional de Seguridad Cibernética británica.
Sin embargo, Uber puede evitar las multas más fuertes que entren en vigor en la UE en mayo, cuando el Reglamento General de Protección de Datos se aplique. Bajo este nuevo régimen, las empresas con operaciones y clientes en la Unión Europea tendrán que notificar a las agencia de protección de datos dentro de un plazo de 72 horas sobre un ataques cibernéticos o enfrentarse a multas hasta de 20 millones de euros o 4 por ciento de la facturación anual global.
Khosrowshahi, quien asumió el cargo de director ejecutivo en septiembre, emitió una disculpa.
“Nada de esto debería haber ocurrido, y no voy a poner excusas para eso, escribió Khosrowshahi en un comunicado. “Si bien no puedo borrar el pasado, puedo comprometerme en nombre de todos los empleados de Uber que vamos a aprender de nuestros errores. Vamos a cambiar la forma como hacemos negocios”.
En EU, un problema clave para Uber serán los 600 mil números de licencias de los conductores que quedaron comprometidos por la violación de datos debido a que se consideran altamente protegidos.
Para los pasajeros, la información robada incluye nombres, números telefónicos y direcciones de correo electrónico, pero no los números de las tarjetas de crédito o el historial de viajes.
El pago que realizó Uber a los hackers es muy poco habitual, ya que pocas compañías admiten que lo han hecho, porque puede alentar nuevos incidentes.
“Una gran parte de la sorpresa y la decepción se produce por el hecho de que al parecer Uber pagó dinero para que se quedaran callados y ocultarlo”, dijo Kowsik Guruswamy, director de tecnología de Menlo Security.
La mayoría de los casos en que los que las empresas pagan a los hackers es cuando los ataques son con ransomware, lo que implica tener que pagar pequeñas sumas para poder decodificar los datos.
Información de Leslie Hook y Hannah Kuchler en San Francisco; Aliya Ram en Londres; y Barney Jopson en Washington.