\n<\/p>\n
\u201cEste es un caso \u00fanico porque hab\u00eda una investigaci\u00f3n en curso de la FTC\u201d, dice Shawn Tuma, socio de la firma de abogados Spencer Fane que se especializa en temas de seguridad cibern\u00e9tica y privacidad de datos. \u201c\u00c9l acababa de dar testimonio bajo juramento y ciertamente ten\u00eda el deber de complementar y proporcionar informaci\u00f3n relevante a la FTC. Asi es como funciona.\u00bb<\/p>\n
Tuma, que trabaja con frecuencia con empresas que responden a violaciones de datos, dice que la condena m\u00e1s preocupante en t\u00e9rminos de precedentes futuros es el cargo de delito grave. Si bien el enjuiciamiento aparentemente estuvo motivado principalmente por el hecho de que Sullivan no notific\u00f3 a la FTC sobre la violaci\u00f3n de 2016 durante la investigaci\u00f3n de la agencia, el cargo de error de acceso podr\u00eda crear una percepci\u00f3n p\u00fablica de que nunca es legal o aceptable pagar a los actores de ransomware o piratas inform\u00e1ticos que intentan extorsionar el pago para mantener datos robados privados.<\/p>\n
\u201cEstas situaciones est\u00e1n muy cargadas y las OSC est\u00e1n bajo una presi\u00f3n inmensa\u201d, dice Vance. \u201cLo que hizo Sullivan parece haber logrado evitar que los datos salieran a la luz, por lo que, en su opini\u00f3n, lograron proteger los datos de los usuarios. Pero, \u00bfhabr\u00eda hecho eso personalmente? Espero que no.\u00bb<\/p>\n
Sullivan dijo Los New York Times<\/em> en una declaraci\u00f3n de 2018, \u00abMe sorprendi\u00f3 y me decepcion\u00f3 cuando aquellos que quer\u00edan retratar a Uber de manera negativa r\u00e1pidamente sugirieron que esto era un encubrimiento\u00bb.<\/p>\n Los hechos del caso son algo espec\u00edficos en el sentido de que Sullivan no solo llev\u00f3 a Uber a pagar a los delincuentes. Su plan tambi\u00e9n implicaba presentar la transacci\u00f3n como un pago de recompensa por errores y lograr que los piratas inform\u00e1ticos, que se declararon culpables de perpetrar la violaci\u00f3n en octubre de 2019, firmaran un NDA. Si bien el FBI ha dejado claro que no aprueba pagar a los piratas inform\u00e1ticos, las fuerzas del orden de los EE. UU. en general han enviado un mensaje de que lo que m\u00e1s valora es ser notificado e incluido en el proceso de respuesta a la violaci\u00f3n. Incluso el Departamento del Tesoro ha dicho que puede ser m\u00e1s flexible e indulgente con los pagos a las entidades sancionadas si las v\u00edctimas notifican al gobierno y cooperan con las fuerzas del orden. En algunos casos, como con el ataque de ransomware Colonial Pipeline de 2021, los funcionarios que trabajan con las v\u00edctimas han podido rastrear los pagos e intentar recuperar el dinero. <\/p>\n \u201cEste es el que m\u00e1s me preocupa, porque pagarle a un atacante de ransomware podr\u00eda verse en p\u00fablico como un acto delictivo y luego, con el tiempo, podr\u00eda convertirse en una especie de est\u00e1ndar predeterminado\u201d, dice Tuma. \u201cPor otro lado, el FBI alienta mucho a las personas a denunciar estos incidentes, y nunca he tenido una experiencia adversa al trabajar con ellos personalmente. Hay una diferencia entre hacer ese pago a los malos para comprar su cooperaci\u00f3n y decir: ‘Vamos a tratar de hacer que parezca una recompensa por un error y que firme un NDA que es falso’. Si tiene el deber de complementar la FTC, puede brindarles informaci\u00f3n relevante, cumplir con las leyes de notificaci\u00f3n de incumplimiento y tomar su lame\u201d.<\/p>\n Sin embargo, Tuma y Vance se\u00f1alan que el clima en los EE. UU. para manejar situaciones de extorsi\u00f3n de datos y trabajar con las fuerzas del orden p\u00fablico en investigaciones de ransomware ha evolucionado significativamente desde 2016. Para los ejecutivos encargados de proteger la reputaci\u00f3n y la viabilidad de su empresa, adem\u00e1s de defender usuarios: las opciones sobre c\u00f3mo responder hace unos a\u00f1os eran mucho m\u00e1s confusas de lo que son ahora. Y este puede ser exactamente el punto del esfuerzo del Departamento de Justicia para enjuiciar a Sullivan.<\/p>\n \u201cLas empresas de tecnolog\u00eda del Distrito Norte de California recopilan y almacenan grandes cantidades de datos de los usuarios. Esperamos que esas empresas protejan esos datos y alerten a los clientes y a las autoridades correspondientes cuando los piratas inform\u00e1ticos roben dichos datos\u201d, dijo la fiscal federal Stephanie Hinds en un comunicado sobre la condena el mi\u00e9rcoles. \u201cSullivan trabaj\u00f3 afirmativamente para ocultar la violaci\u00f3n de datos de la Comisi\u00f3n Federal de Comercio y tom\u00f3 medidas para evitar que atraparan a los piratas inform\u00e1ticos. Cuando tal conducta viole la ley federal, ser\u00e1 procesada\u201d.<\/p>\n Sullivan a\u00fan no ha sido sentenciado, otro cap\u00edtulo en la saga que los ejecutivos de seguridad sin duda estar\u00e1n observando muy de cerca.<\/p>\n<\/div>\n