Riders denuncian a Uber por una ciberataque que expuso sus datos

Uber sigue acumulando malas noticias. La Asociación Unificada de Riders (AUR), un grupo de repartidores que operan para distintas aplicaciones, ha presentado este martes una denuncia contra la multinacional estadounidense —a la que EL PERIÓDICO ha tenido acceso— por presuntamente no haber notificado a los 'riders' ni a los clientes de una brecha de seguridad que expuso sus datos personales.

La demanda, registrada ante la Agencia Española de Protección de Datos (AEPD), lamenta que Uber "no ha informado a nivel personal" a los afectados por múltiples brechas de seguridad. La más reciente se produjo en septiembre tras un ciberataque que afectó a los sistemas de comunicación internos de la compañía. Sin embargo, la denuncia de AUR apunta a una filtración masiva de datos que expuso la información confidencial de 57 millones de personas en todo el mundo, desde sus nombres y apellidos hasta sus documentos nacionales de identidad.

En el caso de 2016, Uber pagó supuestamente 100.000 dólares a los atacantes para que eliminasen los datos que habían robado y para silenciar el caso. La compañía terminó admitiendo ante la Oficina del Fiscal de Estados Unidos que actuó para "ocultar su filtración", que destaparon los medios un año más tarde. Varios países abrieron investigaciones contra Uber por ese abuso, pero España no estaba entre ellos.

"Nos tuvimos que enterar de esa vulneración de nuestros datos por la prensa extranjera porque Uber nos lo ocultó", explica a este diario Fernando Roan, presidente de AUR, que trabaja para que se indemnice a las víctimas de esas filtraciones. Se desconoce si entre los 57 millones de afectados por el robo de datos de 2016 hay repartidores que operan en España.

Ciberataque en septiembre

La última brecha de seguridad de Uber ocurrió el pasado mes de septiembre. Según explicó 'The New York Times', un ciberdelincuente lanzó un ataque de ingeniería social contra uno de los empleados de la empresa proveedora de movilidad. A través de ese empleado, pudo colarse en Slack, el sistemas de comunicación interno que usa Uber. "Anuncio que soy un hacker y Uber ha sufrido una violación de datos", dijo el atacante en un mensaje enviado a todos los empleados de la compañía.

Noticias relacionadas

Pagar para repartir 'en B': El trapicheo de cuentas repunta ante el desafío de Glovo y Uber a la 'ley Rider'

Nueva denuncia contra Uber por repartir con falsos autónomos

Tras esa noticia, Uber lanzó un mensaje en Twitter: "Actualmente estamos respondiendo a un incidente de ciberseguridad. Estamos en contacto con las fuerzas de seguridad y publicaremos aquí actualizaciones adicionales en cuanto estén disponibles".

We are currently responding to a cybersecurity incident. We are in touch with law enforcement and will post additional updates here as they become available.

— Uber Comms (@Uber_Comms) 16 de septiembre de 2022

Poco después, Uber aseguró que el ciberataque no había logrado acceder al entorno de producción de la empresa ni comprometer las bases de datos en las que se almacena información confidencial. La compañía responsabilizó del ataque a un actor afiliado a Lapsus$, un grupo de cibercriminales expertos en extorsión corporativa que el año pasado ya golpeó a empresas como Microsoft, Samsung o Nvidia.