La filtración de datos que afectó a Uber en 2017 no solo puso en riesgo la información personal de 57 millones de pasajeros y conductores, sino que también reveló graves fallas en la forma en que la empresa manejó la crisis. El escándalo terminó con Joe Sullivan, entonces jefe de seguridad, como el primer directivo de su área en ser condenado penalmente por su respuesta a un ciberataque.
Los atacantes recibieron 100.000 dólares a través del programa de recompensas de la compañía y firmaron acuerdos de confidencialidad. Sin embargo, la brecha no se informó a las autoridades hasta casi un año después, cuando ya había cambios en la cúpula de Uber. Aunque algunos interpretaron esto como un intento de ocultamiento, en el juicio de 2023 el juez William Orrick consideró que no se trató de un encubrimiento, sino de una estrategia para contener el problema.
Durante el proceso, Sullivan recibió el respaldo de más de 180 expertos en ciberseguridad, quienes advirtieron sobre el impacto que una condena podría tener en el rol de los responsables de seguridad de las empresas. Aun así, fue hallado culpable de obstrucción a la justicia y de ocultar un delito grave. La condena fue de tres años de libertad condicional, sin prisión, pero marcó un precedente que en 2025 fue ratificado por la Corte de Apelaciones.
Un dato llamativo es que ni el entonces director ejecutivo, Travis Kalanick, ni el abogado de la empresa, Craig Clark, enfrentaron cargos, a pesar de haber estado al frente en el momento de la filtración.
Para Sullivan, lo ocurrido no fue un fallo técnico, sino un problema de comunicación y transparencia. En entrevistas posteriores reconoció que la principal debilidad estuvo en la forma en que la empresa informó el incidente tanto internamente como a los reguladores. Según él, la documentación y la coordinación con el área legal fueron insuficientes, lo que agravó la situación.
Con el tiempo, el exfiscal federal se ha mostrado autocrítico, señalando que hubiera sido clave contar con registros claros de las reuniones, las decisiones tomadas y sus responsables. A su juicio, herramientas de inteligencia artificial que hoy transcriben y documentan automáticamente los encuentros habrían evitado muchos de los errores de entonces.
Más allá del caso individual, el precedente cambió la percepción sobre los riesgos del cargo de CISO. Varios profesionales del sector admiten que ahora muchos candidatos se cuestionan aceptar un puesto de liderazgo en ciberseguridad, conscientes de que un error puede derivar en sanciones legales.
En un entorno sin una legislación unificada en Estados Unidos sobre notificación de filtraciones, los directores de seguridad deben navegar un complejo panorama de regulaciones y expectativas públicas. El caso Uber dejó en claro que, además de las medidas técnicas, la rapidez, la transparencia y la claridad en la comunicación son factores que pueden definir el futuro de una carrera y la reputación de una empresa.
