Como CEO de Uber, es mi trabajo establecer nuestro curso para el futuro, el cual comienza con construir una compañía de la que cada empleado, socio conductor o usuario pueda estar orgulloso. Para que eso ocurra, debemos ser honestos y transparente mientras trabajamos para reparar nuestros errores del pasado.

Hace poco me enteré que a fines de 2016 dos individuos ajenos a la Compañía obtuvieron de forma inapropiada acceso a datos de usuarios almacenados en un  servidor en la nube alojado por un proveedor externo que utilizabamos. El incidente no violó nuestros sistemas corporativos o nuestra infraestructura.

Nuestros expertos forenses no han visto ninguna indicación acerca de que la ubicación de viajes, números de tarjetas de crédito, números de cuentas bancarias, números de seguro social o fechas de nacimiento hayan sido descargados. Sin embargo, los individuos pudieron acceder a archivos que contenían una cantidad significativa de otra información, entre la que se incluye:

  • Los nombres y los números de licencia de conducir de cerca de 600,000 socios conductores en Estados Unidos. Ellos pueden encontrar más información aquí.
  • Información personal de 57 millones de usuarios alrededor del mundo, incluyendo a los socios conductores mencionados anteriormente. Esta información incluye nombres, direcciones de correo electrónico y números de teléfono. Los usuarios pueden encontrar más información aquí.

Al momento del incidente, tomamos medidas de inmediato para asegurar los datos y bloquear cualquier acceso no autorizado. Al mismo tiempo, identificamos a los atacantes y nos aseguramos que los datos descargados fueran destruidos. Además, implementamos medidas de seguridad para restringir accesos y fortalecer los controles en nuestras cuentas de almacenamiento de datos en la nube.

Puede que muchos se pregunten por qué estamos hablando de esto ahora, un año después de ocurrido el incidente. Yo me hice la misma pregunta, así que inmediatamente solicité una investigación acuciosa acerca de lo que ocurrió y cómo lo manejamos. Lo que descubrí, particularmente acerca de nuestra falla a la hora de notificar a las personas y a las autoridades el año pasado, me ha llevado a adoptar varias medidas:

  • He solicitado a Matt Olsen, co-fundador de una firma consultora de ciberseguridad, ex consejero general de la Agencjia Nacional de Seguridad de EE.UU. y director del Centro Nacional para el Contraterrorismo, que me ayude a analizar cómo podemos guiar y estructurar nuestros equipos de seguridad y decidir nuestros siguientes pasos. Con efecto inmediato, dos de las personas que lideraron la respuesta a este incidente, no seguirán relacionados a la Compañía.
  • Estamos notificando individualmente a los socios conductores cuyos números de licencia de conducir fueron descargados.
  • Estamos proveyendo a estos conductores con servicio gratuito de servicios de verificación de crédito y protección ante robo de identidad.
  • Estamos notificando a las autoridades regulatorias.
  • Si bien no hemos visto evidencia de fraude o uso indebido relacionado a este incidente, estamos monitoreando las cuentas afectadas y las hemos notificado para brindarles protección adicional ante fraudes.

Nada de esto debió haber ocurrido, y no intentaré justificarlo. Si bien no puedo borrar el pasado, sí puedo comprometerme a nombre de cada empleado de Uber a que aprenderemos de estos errores. Estamos cambiando la forma en al que hacemos el trabajo, poniendo la integridad en el centro de cada decisión y esforzándonos para ganar la confianza de nuestros clientes.