“Este es un caso único porque había una investigación en curso de la FTC”, dice Shawn Tuma, socio de la firma de abogados Spencer Fane que se especializa en temas de seguridad cibernética y privacidad de datos. “Él acababa de dar testimonio bajo juramento y ciertamente tenía el deber de complementar y proporcionar información relevante a la FTC. Asi es como funciona.»
Tuma, que trabaja con frecuencia con empresas que responden a violaciones de datos, dice que la condena más preocupante en términos de precedentes futuros es el cargo de delito grave. Si bien el enjuiciamiento aparentemente estuvo motivado principalmente por el hecho de que Sullivan no notificó a la FTC sobre la violación de 2016 durante la investigación de la agencia, el cargo de error de acceso podría crear una percepción pública de que nunca es legal o aceptable pagar a los actores de ransomware o piratas informáticos que intentan extorsionar el pago para mantener datos robados privados.
“Estas situaciones están muy cargadas y las OSC están bajo una presión inmensa”, dice Vance. “Lo que hizo Sullivan parece haber logrado evitar que los datos salieran a la luz, por lo que, en su opinión, lograron proteger los datos de los usuarios. Pero, ¿habría hecho eso personalmente? Espero que no.»
Sullivan dijo Los New York Times en una declaración de 2018, «Me sorprendió y me decepcionó cuando aquellos que querían retratar a Uber de manera negativa rápidamente sugirieron que esto era un encubrimiento».
Los hechos del caso son algo específicos en el sentido de que Sullivan no solo llevó a Uber a pagar a los delincuentes. Su plan también implicaba presentar la transacción como un pago de recompensa por errores y lograr que los piratas informáticos, que se declararon culpables de perpetrar la violación en octubre de 2019, firmaran un NDA. Si bien el FBI ha dejado claro que no aprueba pagar a los piratas informáticos, las fuerzas del orden de los EE. UU. en general han enviado un mensaje de que lo que más valora es ser notificado e incluido en el proceso de respuesta a la violación. Incluso el Departamento del Tesoro ha dicho que puede ser más flexible e indulgente con los pagos a las entidades sancionadas si las víctimas notifican al gobierno y cooperan con las fuerzas del orden. En algunos casos, como con el ataque de ransomware Colonial Pipeline de 2021, los funcionarios que trabajan con las víctimas han podido rastrear los pagos e intentar recuperar el dinero.
“Este es el que más me preocupa, porque pagarle a un atacante de ransomware podría verse en público como un acto delictivo y luego, con el tiempo, podría convertirse en una especie de estándar predeterminado”, dice Tuma. “Por otro lado, el FBI alienta mucho a las personas a denunciar estos incidentes, y nunca he tenido una experiencia adversa al trabajar con ellos personalmente. Hay una diferencia entre hacer ese pago a los malos para comprar su cooperación y decir: ‘Vamos a tratar de hacer que parezca una recompensa por un error y que firme un NDA que es falso’. Si tiene el deber de complementar la FTC, puede brindarles información relevante, cumplir con las leyes de notificación de incumplimiento y tomar su lame”.
Sin embargo, Tuma y Vance señalan que el clima en los EE. UU. para manejar situaciones de extorsión de datos y trabajar con las fuerzas del orden público en investigaciones de ransomware ha evolucionado significativamente desde 2016. Para los ejecutivos encargados de proteger la reputación y la viabilidad de su empresa, además de defender usuarios: las opciones sobre cómo responder hace unos años eran mucho más confusas de lo que son ahora. Y este puede ser exactamente el punto del esfuerzo del Departamento de Justicia para enjuiciar a Sullivan.
“Las empresas de tecnología del Distrito Norte de California recopilan y almacenan grandes cantidades de datos de los usuarios. Esperamos que esas empresas protejan esos datos y alerten a los clientes y a las autoridades correspondientes cuando los piratas informáticos roben dichos datos”, dijo la fiscal federal Stephanie Hinds en un comunicado sobre la condena el miércoles. “Sullivan trabajó afirmativamente para ocultar la violación de datos de la Comisión Federal de Comercio y tomó medidas para evitar que atraparan a los piratas informáticos. Cuando tal conducta viole la ley federal, será procesada”.
Sullivan aún no ha sido sentenciado, otro capítulo en la saga que los ejecutivos de seguridad sin duda estarán observando muy de cerca.