La sentencia contra Joe Sullivan por obstrucción de la justicia se mantiene tras la decisión del Tribunal de Apelaciones, que rechazó los argumentos presentados en su apelación.
El Tribunal de Apelaciones del Noveno Circuito en California confirmó la condena contra Joe Sullivan, exdirector de seguridad de Uber, por cargos de obstrucción de la justicia. La decisión se tomó esta semana tras la apelación de Sullivan, quien cuestionó aspectos de su sentencia y los cargos en su contra.
En 2023, un juez federal de Estados Unidos le impuso tres años de libertad condicional después de que un jurado lo encontrara culpable de dos cargos relacionados con su intento de encubrir un ataque cibernético en 2016. En ese incidente, piratas informáticos robaron los datos personales de 57 millones de clientes y la información de 600 mil conductores de Uber.
Sullivan argumentó en su apelación que el tribunal cometió errores al rechazar dos instrucciones que propuso para el jurado y al permitir la declaración de culpabilidad de uno de los atacantesinvolucrados. Sin embargo, la jueza M. Margaret McKeown, parte del panel que revisó el caso, desestimó estas objeciones. “El veredicto del jurado en este caso subraya la importancia de la transparencia incluso en situaciones de fracaso, especialmente cuando dichos fracasos son objeto de una investigación federal”, escribió en su decisión.
El caso contra Sullivan se centró en la acusación de que pagó 100 mil dólares a dos atacantespara silenciar la filtración de datos y les hizo firmar acuerdos de confidencialidad sin informar a la Comisión Federal de Comercio (FTC), a pesar de que la empresa estaba bajo orden de reportar cualquier incidente tras una filtración en 2014. Los fiscales sostuvieron que Sullivan “tomó medidas deliberadas para ocultar, desviar y engañar a la Comisión Federal de Comercio sobre la violación de 2016”.
En su defensa, Sullivan alegó que el acuerdo de confidencialidad firmado con los atacantesinvalidaba cualquier acusación de encubrimiento. Sin embargo, la jueza McKeown rechazó este argumento, explicando que el acceso no autorizado a los servidores de Uber constituyó una violación de la Ley de Abuso y Fraude Informático (CFAA). “El panel sostuvo que la conducta ilegal de los piratas informáticos no podía blanquearse mediante la autorización post hoc de Uber, mediante un acuerdo de confidencialidad (NDA), de su acceso a las computadoras”, escribió.
Uno de los hackers se declaró culpable de los cargos, lo que invalidó aún más la defensa de Sullivan. Además, la jueza enfatizó que, como exfiscal federal adjunto, Sullivan “sabía que la conducta en cuestión constituía un delito grave punible con más de un año de prisión”.
La fiscalía había solicitado una pena de 15 meses de prisión, pero esta fue denegada. En su lugar, además de la libertad condicional, Sullivan deberá pagar una multa de 50 mil dólares, realizar servicio comunitario y cumplir restricciones para viajar.
Desde su juicio, Sullivan ha contado con el respaldo de la comunidad de ciberseguridad, que lo ve como un chivo expiatorio de Uber, argumentando que actuó siguiendo órdenes del entonces CEO, Travis Kalanick, y el abogado interno de la empresa, Craig Clark. De hecho, el juez que dictó la sentencia recibió 186 cartas de apoyo, incluidas 50 de directores de seguridad informática, advirtiendo que una condena de cárcel tendría un “efecto paralizador” sobre la industria.