Hace un par de semanas, Angie Bird recibió lo que parecía ser el estado de cuenta regular de su tarjeta de crédito. En él, aparecían los cobros de una serie de viajes a las ciudades mexicanas de Guadalajara y Aguascalientes a través de la famosa aplicación de Uber. Aunque Bird nunca ha salido de Londres, y vive a 5,500 millas de donde supuestamente se realizaron los viajes. Se cargaron cinco viajes a su tarjeta de crédito – incluyendo uno con un tal José Antonio – a un destino a 790 metros de distancia.
Bird no estaba sola. Otro londinense, Franki Cookney, lo tomó por sorpresa un cargo por $600 dólares que apareció en el estado de cuenta de su tarjeta de crédito por tres viajes de Uber en la Ciudad de Nueva York cuando de hecho estaba en Australia en el momento en que se reservaron los viajes. Lo que llama la atención es que los viajes podrían sólo ser descritos como viajes que ningún cliente “regular” de Uber haría – incluyendo un viaje de 95 minutos de casi $200 dólares que inició y finalizó en el mismo lugar.
Estos casos recientes son reminiscentes de los incidentes de “viajes fantasma” que se cargaron a las cuentas de British Uber en 2015. Las autoridades de Estados Unidos han comenzado a analizar los reportes de los viajes no autorizados que se han facturado a cuentas que pertenecen a clientes que residen en el Reino Unido, incluyendo a la personalidad de la televisión Anthea Turner, quien desafío en Twitter a un servicio para compartir viajes. Dichos casos hicieron que se especulara que las cuentas de Uber se vendieron en el mercado clandestino.
En marzo de 2015, Motherboard reportó haber detectado a varios vendedores que ofrecían cuentas de Uber hackeadas. El reporte identificó a vendedores clandestinos como Courvoisier, quien cobraba $1.85 dólares por cuenta, y ThinkForward, quien creó incluso una promoción de “compre 1 y reciba 1 gratis” de las cuentas vendidas por $5 dólares. Poco después, otro reporte reveló un aumento en el número de vendedores, incluyendo algunos que vendían información comprometida por mayoreo.
Entonces, Uber respondió rápidamente que no habían encontrado evidencia de ninguna brecha a través de la cual se pudiera haber extraído la información de su base de datos. En una declaración, un representante señaló, “No tenemos más detalles por ahora – por el momento esto está en manos de las autoridades. Quiero resaltar que realizamos una investigación exhaustiva de este reporte y no encontramos ninguna evidencia de alguna brecha en los sistemas de Uber”. Además, la compañía le envío a sus clientes un recordatorio, “Esta es una buena oportunidad para recordarle a la gente utilizar nombres de usuario y contraseñas robustas y únicas, así como evitar reutilizar las mismas credenciales en varios sitios y servicios”.
Esto no estuvo lejos de cómo respondió la nueva empresa valorada en varios miles de millones de dólares a los nuevos descubrimientos de fraudes que involucran al servicio de transporte. Al respecto, un vocero de Uber afirmó, “Aunque no ha habido ninguna brecha en los sistemas de Uber, nos gustaría recordarle a nuestro usuarios utilizar siempre contraseñas únicas para diferentes cuentas en línea. Como se ha señalado con anterioridad, cuando la gente utiliza la misma contraseña en más de un sitio, o una de esas cuentas se ha comprometido, se puede acceder también a todos los demás con la misma información de inicio de sesión”.
Si bien la compañía le aseguró al público que no hubo una brecha que pudiera haber llevado a la venta de credenciales en la web oscura y que no había una conexión directa con las credenciales de Uber hackeadas en el mercado clandestino con los reportes recientes de viajes fraudulentos, el aumento continuo de identidades robadas es una causa de preocupación entre los consumidores y las autoridades a medida que se siguen presentando reportes de reservaciones no autorizadas.
La información personal robada es utilizada por los criminales cibernéticos para crear cuentas fraudulentas. A menudo, cuando la información personal de una persona cae en manos de un ladrón en línea, esto puede llevar al robo de su identidad, de la misma manera en que las cuentas de Uber robadas llevaron a reservaciones no autorizadas supuestamente hechas por los propietarios legítimos de las cuentas. Esta no es la primera vez que Uber recibe publicidad negativa por no lograr proteger la información personal que reside en sus sistemas. En enero pasado, Uber tuvo que pagar una multa de $20,000 dólares en Nueva York, después de que una investigación revelara la exposición de más de 50,000 conductores actuales y antiguos que se unieron a la popular aplicación. La solución también sirvió como una orden para modernizar y reforzar su controversial privacidad de datos y sus medidas de seguridad.
Actualmente, Uber aseguró que las irregularidades reportadas en las cuentas de Uber robadas fueron reembolsadas debidamente. Así, la compañía también se aseguró de que las credenciales de tarjeta de crédito no se almacenen localmente, por lo que es imposible extraer dichos detalles de la aplicación misma. Y asegura, “Es imposible que quienes se registran con una cuenta de Uber tengan acceso a los detalles de las tarjetas de crédito, y hemos realizado ya cambios importantes para reducir la capacidad de los criminales de realizar viajes usando cuentas comprometidas. Siempre estamos mejorando la forma en que protegemos a nuestros usuarios”.
Leave a Reply