Mientras el exejecutivo de Uber se dirige a juicio, la comunidad de seguridad se tambalea

Joe Sullivan fue una estrella de rock en el mundo de la seguridad de la información. Uno de los primeros fiscales federales en trabajar en casos de ciberdelincuencia a fines de la década de 1990, saltó al mundo de la seguridad corporativa en 2002 y finalmente asumió funciones de alto perfil como jefe de seguridad en Facebook y Uber.

Cuando la comunidad de seguridad hizo su peregrinaje anual de verano a Las Vegas para asistir a dos conferencias, Sullivan era una figura fácilmente reconocible: alto, con cabello desgreñado, calzado deportivo y una sudadera con capucha.

“Todos lo conocían; Estaba asombrado, francamente”, dijo Renee Guttmann, quien fue directora de seguridad de la información de Coca-Cola y Campbell Soup. “Era un líder de la industria”.

Así que fue una sorpresa para muchos en la comunidad cuando Uber despidió al Sr. Sullivan en 2017, acusado de manejar mal un incidente de seguridad el año anterior. A pesar del escándalo, Sullivan consiguió un nuevo trabajo como jefe de seguridad en Cloudflare, una empresa de infraestructura de Internet.

Pero la investigación sobre el incidente en Uber continuó, y en 2020, la misma oficina del fiscal donde el Sr. Sullivan había trabajado décadas antes lo acusó de dos delitos graves, en lo que se cree que es la primera vez que un ejecutivo de la compañía enfrenta una posible responsabilidad penal por una supuesta violación de datos. El Sr. Sullivan se ha declarado inocente de los cargos.

El Sr. Sullivan renunció a su trabajo en Cloudflare en julio, en preparación para su juicio, que comienza esta semana en el Tribunal de Distrito de EE. UU. en San Francisco. Otros jefes de seguridad están siguiendo de cerca el caso, preocupados por lo que significa para ellos.

Los directores de seguridad de la información, o CISO, son responsables de garantizar que los datos de sus empresas permanezcan a salvo de piratas informáticos y estafadores, un trabajo de alto riesgo que se ha vuelto cada vez más complicado.

Solo en el último año, T-Mobile, Planned Parenthood y el mercado de NFT OpenSea han sido pirateados. La seguridad perfecta es imposible, y ahora los CISO se preguntan qué sucede si, o mejor dicho, cuándo, fallan. Si el Sr. Sullivan es condenado, les preocupa que el resultado pueda sentar un precedente sobre quién tiene la culpa de una violación de datos. ¿Podrían quedarse con la bolsa?

La Sra. Guttmann, que ahora es asesora de empresas de capital de riesgo y nuevas empresas, dijo que el caso del Sr. Sullivan la había hecho pensar más en el problema del ransomware, cuando los piratas informáticos cifran los archivos de una empresa y exigen el pago, generalmente en criptomoneda, para liberar a ellos. Una encuesta de 2021 indicó que muchas empresas pagan el rescate.

“Dentro de seis años, ¿serán procesados ​​todos?” ella preguntó.

Como mínimo, los ejecutivos de seguridad están preocupados por verse envueltos en posibles facturas legales. Charles Blauner, un CISO retirado y asesor de seguridad cibernética, dijo que los jefes de seguridad se habían interesado mucho en los seguros para directores y funcionarios, que cubren los costos legales de los ejecutivos que son demandados como resultado de su trabajo en una empresa.

“Muchos de los jefes de seguridad de la información en funciones acuden a sus jefes y les preguntan si tienen D.&O. seguro y, si no, ¿puedo tenerlo?” dijo el Sr. Blauner. “Están diciendo: ‘Si voy a ser considerado responsable por algo que hace nuestra empresa, quiero cobertura legal’”.

Después de ser acusado, el Sr. Sullivan demandó a Uber para obligarlo a pagar sus honorarios legales en el caso penal y llegaron a un acuerdo privado.

Algunos oficiales de seguridad simpatizaron con la forma en que Sullivan manejó el incidente de seguridad en el centro del caso penal, mientras que otros dicen que fue claramente inapropiado. En 2016, según una denuncia penal, Sullivan se enteró de que los piratas informáticos habían asegurado el acceso a los datos personales de unos 600 000 conductores de Uber y cierta información personal asociada con 57 millones de pasajeros y conductores. Los fiscales acusan a Sullivan de dirigir a los responsables al programa de recompensas por errores de la empresa, que Uber, como muchas empresas, había establecido como un incentivo financiero para que terceros denunciaran sus vulnerabilidades de seguridad.

Uber finalmente pagó a los piratas informáticos, dos hombres de 20 años, $ 100,000 en Bitcoin y les hizo firmar acuerdos de confidencialidad, según la denuncia penal. Uber no reveló el incidente al público ni informó a la Comisión Federal de Comercio, que estaba investigando a la empresa por sus prácticas de privacidad y seguridad.

Se hizo público recién en 2017 cuando el nuevo director ejecutivo de Uber, Dara Khosrowshahi, despidió a Sullivan. Las leyes de violación de datos generalmente requieren que las empresas notifiquen a las personas cuando sus datos personales han sido expuestos. Los dos hombres responsables fueron identificados más tarde y se declararon culpables de piratería informática.

Un miembro del equipo de seguridad de Uber en ese momento, que habló bajo condición de anonimato, dijo que no se había sorprendido cuando se enteró de la acusación del Sr. Sullivan, dada la cultura agresiva de hacer lo que sea necesario que experimentó en el empresa. Al mismo tiempo, dijo, no era inusual dirigir a las personas que encontraban vulnerabilidades al programa de recompensas por errores de la compañía, para asegurarse de que fueran recompensados.

Los fiscales han acusado al Sr. Sullivan de obstruir la justicia y ocultar un delito grave por no revelar la infracción o revelarla a la FTC. El portavoz del Sr. Sullivan dijo que no podía discutir el caso debido al próximo juicio. Uber se negó a comentar.

Otro exmiembro del equipo de seguridad de Uber, Michael Sierchio, quien se fue en los meses previos al incidente, dijo que Sullivan había sido “injustamente señalado”.

“Está siendo el chivo expiatorio”, dijo Sierchio. “El gobierno cree que debería haberlo sabido mejor porque es un exfiscal”.

Varios directores de seguridad que hablaron con The New York Times expresaron su preocupación de que el Sr. Sullivan fuera el único responsable en Uber, dado que un director de seguridad generalmente no toma la decisión de si una empresa informa una violación de datos. Eso, dijeron, generalmente lo decide el departamento legal y el director ejecutivo, quien en ese momento era Travis Kalanick. La portavoz de Kalanick dijo que no tenía comentarios.

En una audiencia previa al juicio, incluso el juez pareció sorprendido por la medida en que el Sr. Sullivan era responsable de las acciones de Uber.

“Hasta este momento, no me había dado cuenta de que su caso era realmente contra Uber y Uber se sentará aquí en la forma del Sr. Sullivan”, dijo el juez William Orrick al fiscal Andrew Dawson.

La oficina del fiscal federal no hizo comentarios sobre el caso. En la audiencia, el Sr. Dawson dijo que Uber tenía obligaciones legales en torno a la seguridad y la privacidad y que la evidencia del estado mostraría “lo que hizo el Sr. Sullivan para socavar esas obligaciones”.

Steve Zalewski, ex director de seguridad de la información de Levi Strauss, describió que el campo de la seguridad cibernética sigue evolucionando, habiendo crecido junto con Internet durante los últimos 30 años, y dijo que las llamadas como la que había hecho el Sr. Sullivan eran complicadas.

“Debido a que es relativamente joven, no tenemos ese cuerpo de leyes y conocimiento que se deriva con el tiempo para saber dónde está el límite”, dijo el Sr. Zalewski. “Los malos nos atacan todos los días. Solo estamos tratando de defender a la empresa”.

Otros jefes de seguridad son menos indulgentes. Jamil Farshchi, quien se convirtió en director de seguridad de la información en el corredor de datos Equifax después de que una gran brecha afectó a más de 140 millones de personas, inició una animada discusión en LinkedIn el mes pasado cuando acusó a quienes defendían a Sullivan de “tribalismo”.

“Es realmente fácil restar importancia a la responsabilidad en favor de la simpatía cuando luchas por tu tribu”, escribió el Sr. Farshchi, quien se negó a comentar para este artículo. “El juicio de EE. UU. contra Sullivan comienza en septiembre, pero la lección clave aquí es una que casi todos los CISO han experimentado de primera mano: cuando se enfrente a una decisión de perder-perder, haga lo correcto (o al menos lo legal)”.

A medida que se acerca el juicio de Sullivan, otro exjefe de seguridad de alto perfil aparece en las noticias, pero por revelar lo que dijo que eran problemas de seguridad, en lugar de ocultarlos. Peiter Zatko, quien fue despedido como jefe de seguridad de Twitter en enero, recientemente se convirtió en denunciante, afirmando que su antigua empresa había ocultado vulnerabilidades de seguridad a los reguladores.

“Honestamente, el peso del mundo está sobre nuestros hombros”, dijo Jason Manar, director de seguridad de la información de la empresa de software Kaseya. “Definitivamente tengo menos mechones de cabello que antes”.

El año pasado, Kaseya sufrió un ataque cibernético de un grupo de ciberdelincuentes con sede en Rusia llamado REvil, que comprometió hasta 1500 empresas que utilizan los servicios de software de Kaseya. El Sr. Manar fue uno de los agentes del FBI que investigó el ataque; luego tomó un trabajo de seguridad en la empresa, a fines de 2021.

Dijo que la diferencia entre el incidente de Kaseya y el de Uber era que Kaseya había revelado rápidamente el hackeo y trabajado con los agentes del orden público, lo que le dio la confianza de que la compañía lo respaldaría si algo salía mal nuevamente. Esperaba que el caso del señor Sullivan resultara ser una anomalía.

Aún así, reconoció, existen riesgos de ser la persona encargada de responder a amenazas colosales.

“Hay mucho en juego para cada CISO”, dijo. “Simplemente creo que se trata de una responsabilidad ética y moral, así como una responsabilidad legal, de hacer lo correcto”.

La Sra. Guttmann, ex CISO de Coca-Cola y Campbell, dijo que recientemente asistió a la conferencia de seguridad cibernética Black Hat en Las Vegas. El juicio estaba en la mente de los asistentes, y aunque las personas con las que habló en general apoyaron a Sullivan, dijo, su situación era desalentadora.

“Las personas allí que eran senior en su trabajo, justo por debajo de CISO, dijeron que no aceptarían el trabajo de CISO por nada”, dijo. “El estrés, la responsabilidad. La gente ya no cree que esto pueda ser un trabajo a largo plazo en una empresa”.