All your base are belong to us
“We don’t want a Heartbleed to happen every month. We want a stronger foundation.” -@joesu11ivan TECH BIT
Uno de los memes más viejos es el del videojuego Zero Wing (para Sega Genesis o Mega Drive) en el que una mala traducción del Japonés al Inglés mostraba un GIF con la frase "All your base are belong to us", de ahí que se cambiara lo de las bases por cualquier otra palabra connotando que alguien ganó o conquisto algo. Cuando un cracker (mal llamado hacker) toma datos de una plataforma puede mandar este meme, cuando se tratan de millones de cuentas, supongo que no está tan alejado del tema de llevarse las bases (de datos).
A estas alturas, a menos de que utilices tu celular solo para pedir Uber y ver Feis, es probable que sepas que 57 millones de cuentas de Uber (un número superior a la población de Sudáfrica, pero menor a la de Italia) fueron vulneradas, tomadas por personas ajenas a Uber, en septiembre. Además de esas cuentas, de acuerdo al Wall Street Journal los malosos obtuvieron acceso a las licencias de 600 mil conductores (poco menos de la población de Mexicali). Si bien de acuerdo a la empresa este hackeo no afectó a cuentas mexicanas ni de América Latina, el golpe al excelente trabajo que estaban haciendo por recuperar la confianza de sus usuarios ha sido mermado.
No me preocupa el tipo de información accesada a través de una vulnerabilidad dentro de un pedazo de código dejado en un repositorio privado de GitHub, el cual utilizaban los ingenieros de Uber que le reportaban a Joe Sullivan, exFacebook y ahora exUber. Esta base de datos se ve únicamente útil para una agencia de marketing: nombre, teléfono, dirección, email. Pero son datos personales, y aunque Uber dice que no hubo acceso a los de México, el INAI no se ha pronunciado al respecto. La única nota que leí con una postura fue del ICAI (Instituto Coahuilense de Acceso a la Información).
El problema es que siendo una empresa privada que no tiene que dar cuentas a nadie más que a su consejo, decidieron ocultar el hecho hasta esta semana. Lo hicieron publicando de un modo muy pasivo y justo antes del fin de semana más largo de EE.UU: Thanksgiving, o día de acción de gracias. Aún no se si esa fue una estrategia porque algún medio como el Wall Street Journal u otro tenía intenciones de publicar sobre este tema, y ellos intentaron publicar antes de que la noticia saliera a la luz por otro tercero.
Doy gracias de que decidieron hacer público el hecho. El tema más controversial y que más afecta la labor de mejorar la imagen de la marca es que al parecer Uber pagó un “rescate” de 100 mil dólares. No fue un acceso programado en una feria o como parte del programa de “recompensas a hackers de sombrero blanco” buscando hacer más seguro el sistema, aunque así medio lo quisieron dar a entender. Finalmente los rescates de información digital deja muchísimas dudas respecto a las copias que se hayan hecho mientras los crackers tenían posesión de la información.
Me preocupa, aunque parezca #ruidoblanco, que esto pasa en otro “momento político” de Estado Unidos cuando la FCC (Comisión de comunicaciones) empieza a tomar cartas de nuevo en contra de la neutralidad de la red. Y reitero que existe un gran peligro para la neutralidad de la red en la idea de controlar lo que pasa por la web por parte de los gobiernos, para proteger la privacidad de los usuarios.