Una de las noticias más rudas del mundo digital durante este fin de semana —que agarró a muchos mexicanos entretenidos con el pozole— es que Uber fue víctima de un intenso hackeo. Con decirles que, sin hacer mucho ruido, el intruso se metió hasta la cocina de la gigantesca compañía.
“Soy un hacker y Uber ha sufrido una filtración de datos”, escribió una cuenta anónima… ¡en el grupo de Slack de los empleados!
Mientras averiguan cómo cuernos llegó al hacker a los grupos de chat de los trabajadores, muchos detalles se han ido descubriendo y la verdad es que apuntan a un enredo bastante interesante —que nos puede servir de lección a muchos que nos gusta la tecnología.
¿El hacker de Uber llegó por WhatsApp?
Todo parece indicar que el hacker llegó a los servidores internos de Uber gracias al contacto de WhatsApp de uno de sus trabajadores, que no ha sido identificado. Y de ahí utilizó las técnicas más simples de ingeniería social —marearlo con links falsos— para poder entrar a la gigantesca empresa.
Se sabe que contactó al trabajador de Uber por WhatsApp y en mensajes directos comenzó a jugarle chueco.
En algún momento le envió el link de una página falsa para que “entrara” a su cuenta de la chamba. Ese sitio, obvio, era un sitio de phishing que solamente se utilizó para robarle la contraseña y el usuario al trabajador de Uber.
Y aquí es donde se pone todavía más interesante porque, aparentemente, Uber tenía habilitado la verificación de dos pasos para todos sus empleados. Esa verificación —similar a la que tienes en tu app del banco o en tus cuentas de Google, o Apple— te obliga a aceptar con el celular que estás iniciando sesión.
¿Qué hizo el hacker? La vieja confiable: lo intentó hasta cansarse.
De acuerdo con ArsTechnica, el hacker metía la contraseña —una y otra y otra vez— hasta que el trabajador, harto de recibir tantas notificaciones en su teléfono, le pusiera “Aceptar”.
Una vez adentro, tuvo acceso a diversas cuentas de los servidores internos de Uber y orgulloso de su trabajo digital, anunció el hackeo en el grupo de Slack. El culpable platicó con un investigador y ahí confirmó que, una vez adentro, se dio cuenta que toda la intranet de Uber estaba unida, por lo que pudo darse un paseo en todo el ecosistema digital de la empresa.
Se presume que se trata de un hacker de 18 años que, además, este fin de semana también dijo que había hackeado a Rockstar Games, publicando un adelanto inesperado del juego Grand Theft Auto 6.
¿Qué información le hackearon a Uber?
Ahí es donde sigue el misterio.
La compañía admitió que habían tenido una falla en su seguridad digital esta semana, pero no se sabe exactamente qué alcances tuvo o si hay información robada. Oficialmente, dijeron que “no existe evidencia” de que el hacker tenga información sensible de sus clientes como sus viajes.
Aunque cerraron sus servidores o canales de comunicación interna, todas sus apps —Uber, Uber Eats o el cliente de conductores— funciona con normalidad.
En lo que se investiga por completo este hackeo o los alcances que pudo tener, la lección sobre ciberseguridad le está dando la vuelta al mundo y cómo una de las empresas de tecnología más grande en el mundo se llevó una mala sorpresa por el WhatsApp de uno de sus empleados.