Cuando la filtración de datos de Uber copó los titulares en 2017, el escándalo no se limitó al robo de información personal de 57 millones de pasajeros y conductores. Lo que realmente encendió las alarmas fue cómo la empresa manejó el incidente y cómo su entonces jefe de seguridad, Joe Sullivan, terminó siendo el primer director de seguridad condenado penalmente por su respuesta a un ataque informático.
Los hackers recibieron US$ 100.000 a través del programa de recompensas por errores de Uber y firmaron acuerdos de confidencialidad. Sin embargo, la filtración recién se informó a los organismos reguladores casi un año después, cuando la cúpula de la compañía ya había cambiado.
Muchos lo señalaron como un intento de ocultamiento. Pero en la sentencia de 2023, el juez William Orrick puso en duda esa interpretación: "El argumento de la NDA que presenta el gobierno, creo, no es válido", dijo. "Eso no fue un acto de encubrimiento. En mi opinión, eso formaba parte de la capacidad de resolver el problema", agregó.
Durante el juicio, Joe Sullivan recibió el respaldo de 186 referencias personales y cartas de apoyo firmadas por referentes de la comunidad de ciberseguridad. Una de esas cartas, avalada por casi 50 profesionales del sector, advertía sobre el posible impacto negativo del veredicto en la manera en que los CISO toman decisiones y en cómo se distribuyen las responsabilidades entre los asesores legales, los directores ejecutivos y el resto de la cúpula directiva.
Kiersten Todt, exjefa de gabinete de la Agencia de Ciberseguridad y Seguridad de Infraestructura de Estados Unidos, fue todavía más clara. Le dijo al juez que el fallo ponía en riesgo la contratación dentro de la industria, porque convertía en una amenaza real la posibilidad de una condena penal para los CISO y CSO.
Sin embargo, el juez William Orrick sostuvo que varios de quienes apoyaron a Sullivan no entendían del todo el caso.
Sullivan fue declarado culpable por un jurado de obstrucción a la justicia y por ocultar un delito grave. El juez William Orrick lo condenó a tres años de libertad condicional, sin enviarlo a prisión, al considerar que se trataba de un caso sin antecedentes similares. La defensa presentó una apelación, pero el Noveno Circuito de la Corte de Apelaciones de Estados Unidos ratificó el veredicto en marzo de 2025.
Un dato que no pasó desapercibido: Travis Kalanick y Craig Clark, quienes eran el director ejecutivo y el abogado de Uber al momento de la filtración, nunca fueron acusados.
El caso marcó un precedente concreto: los ejecutivos de ciberseguridad pueden enfrentar consecuencias penales por cómo manejan una brecha de seguridad. Para Sullivan, esa experiencia se transformó en una advertencia que hoy comparte con otros directivos. Lo hace desde su propia consultora de ciberseguridad, como orador público y también como asesor de BreachRx, una firma especializada en gestión de respuesta a incidentes.
Fallas de comunicación en la filtración de datos de Uber, no fallos técnicos
Para Joe Sullivan, la condena no tuvo que ver con la ciberseguridad, sino con la forma en que Uber comunicó el incidente, tanto puertas adentro como frente a los reguladores. "El caso del gobierno no se trataba de un hackeo, sino de la transparencia de las empresas con los reguladores", me dijo en una entrevista. "Esa es la conclusión", sostuvo.
Sullivan, exfiscal federal con experiencia en piratería informática, propiedad intelectual y delitos tecnológicos, insistió en que el problema no pasó por una falla técnica. "Me sentí orgulloso de cómo mi equipo gestionó la filtración. Los datos robados se contuvieron, no se filtraron", aseguró. Pero admitió: "La comunicación en torno a esto —la documentación, la coordinación con el departamento legal— fue donde todo falló".
¿Si pudiera volver el tiempo atrás? "Me encargaría de involucrarme más en la forma en que la empresa comunica los incidentes de seguridad, aunque técnicamente no fuera mi área", reconoció. Y agregó: "También me aseguraría de tener una documentación más sólida: registros claros de qué decisiones se tomaron, quién las tomó y por qué".
Con tono autocrítico, Sullivan habló de su deseo de haber tenido a mano algo así como un "TiVo en red", una herramienta que registrara quiénes asistieron a cada reunión, qué se dijo y quién aprobó cada decisión. Según él, las herramientas actuales de toma de notas con inteligencia artificial, cada vez más comunes en reuniones virtuales, probablemente habrían evitado muchas de esas fallas en la documentación.
Esa mirada retrospectiva deja una lección más amplia para quienes ocupan puestos de liderazgo: en una crisis no alcanza con lo que se hace; también importa lo que se documenta, a quién se le informa y con qué rapidez.
Implicaciones de la filtración de datos de Uber para la rendición de cuentas de los CISO y el riesgo ejecutivo
Para varios profesionales de la ciberseguridad, el caso de Joe Sullivan y su paso por Uber les cambió la forma de ver su trabajo. "Antes recibía llamadas de gente que me preguntaba cómo prepararse para las entrevistas de director de seguridad de la información", contó. "Ahora me llaman preguntándome si deberían siquiera aceptar el puesto", dijo.
Esa duda refleja un cambio más profundo. Sin una ley nacional clara sobre la notificación de filtraciones de datos, los CISO y CSO tienen que moverse entre un laberinto de regulaciones, expectativas públicas cada vez más altas y, ahora, la posibilidad real de enfrentar cargos penales. El cargo exige responsabilidades legales, técnicas y estratégicas, y un error en cualquiera de esos frentes puede arruinar una carrera.
El problema no es exclusivo del área de seguridad. Atraviesa a toda la alta dirección y también a las juntas directivas.
Lecciones de la filtración de datos de Uber para los altos ejecutivos
¿Qué deberían aprender los ejecutivos y directores tras las consecuencias del caso Uber?
Primero, que la responsabilidad ejecutiva en ciberseguridad ya no es una posibilidad lejana. Los CISO no son los únicos bajo la lupa: también los directores ejecutivos, asesores legales y las juntas directivas pueden quedar expuestos si no existe una estrategia clara para comunicar las brechas de seguridad.
Segundo, responder a un incidente no se trata solo de contener el daño. También exige transparencia. Los equipos legales, de cumplimiento y técnicos tienen que actuar de forma coordinada ante una filtración, con foco en una divulgación temprana y en una documentación clara.
Tercero, las empresas necesitan dejar de pensar la seguridad informática como algo puramente preventivo. La preparación tiene que ser más amplia y contemplar escenarios de crisis. "Invertimos el 95 % del presupuesto de seguridad en prevención", explicó Sullivan. "Pero nos juzgan por nuestro desempeño en una crisis. Eso es lo que perdura", agregó.
Reflexiones finales
El caso de la filtración de datos de Uber fue un punto de quiebre, no solo para Joe Sullivan, sino también para cómo las empresas gestionan el riesgo digital. Para los directivos, dejó una advertencia clara: la ciberseguridad ya no es solo un tema técnico. Es una responsabilidad compartida, con peso estratégico y legal.
La confianza, según Sullivan, es el verdadero capital de quien lidera en seguridad informática. Y cuando se pierde, cuesta recuperarla. "La transparencia genera confianza. Eso es lo que aprendí a las malas", reconoció. "Tenemos que prepararnos para el peor escenario posible, no solo técnicamente, sino también ética y organizativamente", concluyó.
Por si queda alguna duda sobre dónde falló todo, lo deja bien claro: "Si pudiera repetirlo, me aseguraría de que la empresa se comunicara más. Aunque no fuera mi área, me encargaría de ello".
Nota publicada por Forbes US
