Cabify está revisando las afirmaciones de que un actor amenazante obtuvo una base de datos que contiene información detallada sobre cientos de miles de sus conductores. Un usuario conocido como Perro publicó muestras en un foro online y ofreció el conjunto completo de datos a la venta. Las muestras parecen incluir nombres completos, direcciones de casa, números de teléfono, direcciones de correo electrónico e identificadores vinculados a Facebook Account Kit. Los investigadores que analizaron el material afirman que la estructura de los datos es coherente con la información recogida durante la incorporación del conductor.
Cabify, con sede en Madrid y operando en toda España y América Latina, no ha confirmado si sus sistemas o los de un tercero han sido comprometidos. La compañía tampoco ha comentado cuándo se obtuvieron los supuestos datos ni si se refieren a conductores actuales o anteriores. Los analistas señalan que los campos filtrados sugieren que la fuente podría ser un sistema de registro o verificación de identidad en lugar de datos de soporte rutinarios. La incorporación de conductores suele implicar recopilar información personal y de contacto, junto con identificadores de redes sociales o de plataformas utilizados para la autenticación.
La naturaleza de los datos expuestos genera preocupación porque los registros incluyen múltiples piezas de información personal que pueden combinarse para suplantar conductores o atacarlos con mensajes fraudulentos. Direcciones, números de teléfono e información de correo electrónico pueden utilizarse para la ingeniería social. Los identificadores en redes sociales podrían permitir a los delincuentes vincular cuentas en línea a perfiles reales, aumentando la credibilidad de estafas dirigidas. Los especialistas en seguridad afirman que conjuntos de datos de este tamaño resultan atractivos para los actores amenazantes porque ofrecen amplias oportunidades para ataques basados en identidad.
También se centran las consideraciones regulatorias. Si se confirma que los datos son genuinos y provienen de los sistemas de Cabify, la empresa estaría obligada a evaluar las obligaciones de notificación bajo la legislación europea de privacidad. El Reglamento General de Protección de Datos exige que las organizaciones notifiquen a los reguladores y a las personas afectadas cuando la información expuesta suponga un riesgo de daño. Los datos personales como direcciones residenciales e información de contacto se consideran sensibles cuando se vinculan a una persona identificable. Las empresas que operan en múltiples regiones también deben coordinarse con las autoridades regionales si los datos involucran a conductores fuera de la Unión Europea.
El incidente pone de manifiesto los retos de ciberseguridad a los que se enfrentan las plataformas de movilidad que gestionan grandes volúmenes de información de identidad. Los sistemas de registro de conductores gestionan la identificación oficial oficial, los documentos de verificación de antecedentes y la información detallada de contacto que puede seguir siendo valiosa para los delincuentes mucho tiempo después de ser recogida. Estas plataformas no siempre tienen el mismo nivel de inversión en seguridad que las instituciones financieras, a pesar de que contienen datos igualmente sensibles. Los analistas afirman que los registros filtrados de incorporación suelen seguir circulando en foros clandestinos incluso después de las ventas iniciales, lo que lleva a una exposición a largo plazo para las personas afectadas.
Cabify no ha proporcionado un calendario para su revisión interna. Los investigadores de seguridad recomiendan que los conductores que hayan compartido información con la compañía permanezcan atentos a mensajes que solicitan datos personales, solicitudes de verificación inesperadas o cambios en los datos de la cuenta. También aconsejan vigilar las cuentas financieras e identificativas para detectar actividades inusuales mientras la empresa investiga la reclamación.