De Greyball a Ripley: las armas secretas de Uber para eludir la justicia
El protocolo de visitantes inesperados activado en secreto por Uber hace años ha salido a la luz. Conocido sólo por un grupo selecto de empleados de la compañía, este software terminó siendo llamado Ripley en alusión al personaje central de la serie que encarnó icónicamente en la gran pantalla la actriz estadounidense Sigourney Weaver. En el caso de Uber, el “supuesto invasor”: la policía o las autoridades que querían realizar inspecciones en sus oficinas. Y el mecanismo para afrontarlo: una suerte de black out informático.
Reuters
No es ciencia ficción, sino un modo de enfrentar a un intruso indeseado sin necesidad de llegar al extremo de gritarle “Aléjate de ella, perra”, como en una de las más míticas escenas de la saga Alien.
El protocolo de visitantes inesperados activado en secreto por Uber hace años ha salido a la luz. Conocido sólo por un grupo selecto de empleados de la compañía, este software terminó siendo llamado Ripley en alusión al personaje central de la serie que encarnó icónicamente en la gran pantalla la actriz estadounidense Sigourney Weaver y que estaba dispuesto incluso a aniquilarse si con ello lograba acabar con sus enemigos alienígenas.
En el caso de Uber, el “supuesto invasor”: la policía o las autoridades que querían realizar inspecciones en sus oficinas. Y el mecanismo para afrontarlo: una suerte de black out informático.
“Destruye todo el sitio desde la órbita. Es la única forma de estar seguros”, es la frase de Ellen Ripley que inspiró el apodo del programa utilizado por Uber, aunque su aplicación no llegó a tanto pues lo que hacía era blindar los sistemas y bloquear el acceso a la información para evitar que fueran revisados por los funcionarios.
La compañía de servicio alternativo a los taxis ha reconocido que usó este software desde mayo de 2015, cuando una decena de agentes de Quebec intentaron hacer una inspección fiscal en las oficinas de Montreal y se encontraron con que los equipos informáticos estaban completamente bloqueados, por lo que no pudieron recolectar ninguna evidencia. Se fueron con las manos vacías.
Hoy se sabe la razón: empleados de la oficina canadiense notificaron a los ingenieros ubicados en San Francisco para que pusieran en funcionamiento a Ripley. Y es que este programa permite que desde la sede general de Uber en California se modifiquen los passwords y sea denegado todo acceso a los móviles y a los ordenadores portátiles y de escritorio de la compañía en cualquier parte del mundo.
Pero ¿cómo nació? Incidentes durante una misma semana de marzo de 2015, en París y Bruselas, alentaron su creación. En la capital belga la justicia ordenó el cese de las actividades de Uber después de que las autoridades, que acusaban a la compañía de operar sin disponer de permisos adecuados, inspeccionaron sus oficinas y lograron acceder al sistema de pagos, a la información de clientes y trabajadores.
De allí que la empresa de transporte de pasajeros ideara el establecimiento de este tipo de mecanismo de seguridad. Lo que en un principio se limitaba a finalizar las sesiones cuando un ordenador pasaba 60 segundos sin actividad alguna se extendió.
Melanie Ensign, portavoz de Uber, ha reconocido que Ripley fue utilizado en ciudades como París, Hong Kong y Bruselas hasta fines de 2016, según ha recogido USA Today.
“Al igual que todas las empresas con oficinas en todo el mundo, tenemos procedimientos de seguridad para proteger los datos corporativos y la información de los clientes. Cuando se trata de investigaciones gubernamentales, nuestra política es cooperar con todas las búsquedas y solicitudes válidas de información”, agregó Ensign.
«Una compañía como Uber, que maneja altos volúmenes de datos de sus usuarios y de los coches de sus conductores, debe tener una estrategia de protección muy robusta y cumplir con altos estándares de seguridad. El problema aquí es cuándo decide ejecutar esos controles o bloqueos.»
“La información es lo más valioso que puede tener una organización. Una compañía como Uber, que maneja altos volúmenes de datos de sus usuarios y de los coches de sus conductores, debe tener una estrategia de protección muy robusta y cumplir con altos estándares de seguridad. El problema aquí es cuándo decide ejecutar esos controles o bloqueos. Entonces, ya hablamos no del sistema o la solución, sino de su política o su estrategia de contingencia o atención a incidencias. Un cierre de los sistemas no es tanto una solución, sino una estrategia que puede tener la organización dada determinada incidencia”, explica a The Objective el consultor en seguridad de la información Manuel Piña.
De acuerdo con la agencia Bloomberg, que destapó el jueves 11 de enero la existencia del software en cuestión, “se pueden encontrar alusiones a su naturaleza en ciertos documentos judiciales, pero sus detalles, alcance y origen no han sido reportados previamente”.
La pregunta que resuena, tan en boga en la era Trump, es si su uso podría constituir obstrucción de la justicia. El juez que lleva el caso contra la compañía en Quebec así lo cree. “Uber quiso ocultar evidencia de sus actividades ilegales”, apuntó en el expediente tras el fracaso de la redada en Montreal.
No obstante, la defensa lo negó alegando que los archivos no fueron borrados y que luego la información requerida fue entregada ante una solicitud judicial posterior más concreta.
No es la primera vez que Uber echa mano de este tipo de procedimiento controvertido, al que habría recurrido en más de veinte ocasiones. En efecto, está en la mira del Departamento de Justicia de Estados Unidos debido a otras cinco herramientas informáticas: Greyball, Hell, Heaven View, Surfcam y Firehouse.
Aplicación fantasma
En febrero de 2017, el diario The New York Times reveló la existencia de Greyball, un programa de espionaje informático utilizado desde 2014 por Uber para tratar de evitar que las autoridades descubrieran que operaba en ciudades donde este servicio estaba prohibido o sometido a vigilancia estricta.
Tras recopilar información del cliente, el software permitía identificar a supuestos pasajeros que en verdad lo que buscaban era conseguir algún tipo de evidencia violatoria de la ley por parte de la compañía, por lo que cancelaba sus viajes o sencillamente los coches jamás llegaban a recoger a estos presuntos clientes.
Este dispositivo estaba incluido dentro del programa Violación de Términos de Servicio para detectar a quienes usaran la aplicación de manera inadecuada. Creado para evadir a pasajeros peligrosos o malintencionados, terminó empleándose con otros fines.
¿Cómo identificaba a los funcionarios encubiertos? Si la localización desde la que se solicitaba el servicio era próxima a alguna oficina gubernamental o la tarjeta de crédito aportada por el usuario para pagar estaba asociada a un organismo oficial, una versión falsa de la aplicación se ponía en marcha con coches fantasma pues estos aparecían en pantalla pero en realidad no se encontraban circulando en la zona. Era la forma de evitar cualquier tipo de sanción.
Un mes después de ser desvelada públicamente la utilización de Greyball en ciudades estadounidenses como Boston y Las Vegas, así como en Francia, Australia, China y Corea del Sur, al director de seguridad de la compañía para el momento, Joe Sullivan, no le quedó más remedio que sentenciar: “A partir de ahora estamos prohibiendo de manera expresa el uso del programa para evitar las acciones que tomen autoridades locales”.
Bajo la mirada divina
En noviembre de 2014, la reportera de Buzzfeed Johana Bhuiyan se llevó una sorpresa cuando al llegar a la sede de Uber en Nueva York para entrevistar al entonces gerente general de la empresa en esa ciudad, Josh Mohrer, él le mostró su móvil y le dijo que a través de este había estado haciendo seguimiento de su desplazamiento hasta esa oficina.
Mohrer había usado God View (Vista de Dios), una herramienta de la que dispone Uber para conocer la ubicación de sus conductores y clientes. Sin embargo, al rastrear a la periodista sin su consentimiento con este programa pudo haber violado las normas de privacidad de la compañía, lo que derivó en una investigación interna.
Entre cielo e infierno
En septiembre de 2017, The Wall Street Journal informó sobre la apertura de una averiguación por parte del FBI contra Uber por el software llamado Hell (Infierno), que supuestamente empleó entre 2014 y 2016 para hacerle seguimiento a los conductores de Lyft, una de las empresas rivales.
El programa creaba cuentas falsas de pasajeros en Lyft por medio de las cuales podía monitorear cuántos coches tenía en ciertos lugares a determinadas horas. Luego Uber sacaba provecho de esa información. Su nombre respondía a que era el complemento de God View, después rebautizado como Heaven View (Vista del Cielo), con el que la compañía hacía seguimiento a sus propios conductores.
La ola de la competencia
En octubre de 2017, Bloomberg reportó la existencia de Surfcam, gracias al cual Uber usó la información en línea de sus competidores para saber en tiempo real el número de conductores que tenían trabajando en un momento concreto y su ubicación exacta.
Esta herramienta habría sido desplegada fundamentalmente en Singapur, donde Uber se disputa el mercado con una compañía denominada Grab.
Precios en juego
En su búsqueda por innovar también recurrió al programa Firehouse, que le permitía ofrecer a los usuarios una tarifa fija inicial que era estimada mediante cálculos efectuados por ordenadores sobre cuál era el precio que la gente que hacía una ruta específica estaría dispuesta a pagar. Al mismo tiempo, experimentaba brindando descuentos pero sólo a ciertos clientes.
Estas pruebas provocaron malestar entre sus conductores que notaban una creciente diferencia entre las tarifas aplicadas a los pasajeros y la compensación que ellos recibían por prestar el servicio.
