Un hacker de 18 años pone a Uber contra las cuerdas

Accedi a los sistemas internos usando ingeniera social y promete desvelar informacin de la compaa «en los prximos meses»

Esta semana los ingenieros de Uber descubrieron a un intruso en sus sistemas, un hacker que habra conseguido el mximo nivel de acceso dentro de los servidores de la compaa usando tcnicas de ingeniera social, es decir, engaando a varios empleados para conseguir las credenciales y cdigos necesarios.

El hacker, incluso, lleg a confesar su ataque en el canal de comunicacin interna de Uber. «Soy un hacker y Uber ha sufrido un ataque», escribi.

La identidad del atacante sigue siendo desconocida, pero tanto en redes sociales como en declaraciones al New York Times, asegura ser un joven de 18 aos que simplemente ha aprovechado un grave descuido por parte de la compaa, a la que acusa de tener muy malos protocolos de seguridad.

Conseguir la contrasea de seguridad de un ingeniero utilizando tcnicas de ingeniera social, despus de todo, fue slo el primer paso. Una vez dentro de los sistemas, un programa de administracin interna le permiti obtener toda la informacin necesaria para acceder a las cuentas de Uber en todo tipo de servicios de terceros, como la nube de Amazon AWS (que Uber usa como infraestructura), los servicios de seguridad que Uber utiliza para doble autenticacin, o la cuenta de GSuite, las herramientas de Google con las que Uber gestiona las operaciones internas o el correo de sus empleados.

Uber asegura que est investigando el ataque y se ha puesto en contacto con agencias de seguridad, pero no est claro qu alcance ha tenido. Con este nivel de acceso, el atacante podra haber consultado todo tipo de informacin sobre los millones de clientes de Uber en todo el mundo, por ejemplo, o acceder al cdigo fuente de las aplicaciones o el propio servicio.

Varios expertos en seguridad han sealado que el hacker habra accedido tambin al programa de recompensas que Uber tiene activo para quienes encuentran vulnerabilidades en sus sistemas, y esto quiere decir que tendra en su poder una lista de posibles nuevos vectores de ataque que an no han sido corregidos. En varios comentarios realizados en Telegram, el hacker ha prometido desvelar algunos datos «en los prximos meses».

La compaa, de momento, ha pedido a sus empleados que no utilicen algunas de las herramientas internas. No es el primer gran ataque que sufre, en cualquier caso. En 2016 un grupo de hackers consigui acceder a los datos de 57 millones de clientes y 600.000 conductores. La compaa pag entonces 100.000 dlares para recuperar la informacin, un hecho que ocult a las autoridades hasta el pasado mes de julio.