Una filtración de datos que cuesta 183 millones de dólares

11 Jul 2019

La Oficina del Comisionado de Información (ICO, por sus siglas en inglés) del Reino Unido ha declarado que va a multar a British Airways con 183 millones de libras por la pérdida de datos del año pasado. Muy superior a la multa que recibió Facebook de manos de la UE por el caso de Cambridge Analytica. En esta publicación, os vamos a contar qué ha pasado, por qué hay tanta diferencia entre ambas multas y por qué es importante considerar la protección de los datos en primera estancia.

La fuga de datos de British Airways: ¿qué ha ido mal?

El otoño pasado British Airways declaró que, desde el 21 de agosto hasta el 5 de septiembre, unos ciberdelincuentes accedieron a los datos de los usuarios que compraron o modificaron sus billetes en la web o en la aplicación móvil de la compañía. Los atacantes robaron la información de aproximadamente 500.000 clientes que incluía todo lo que las víctimas habían introducido en los formularios online: nombres de usuario y contraseñas, nombres y direcciones, información de la tarjeta bancaria, incluidos los códigos CVC, y demás.

Tras la investigación se llegó a la conclusión de que British Airways había recibido el ataque por parte del grupo de ciberdelincuentes Magecart, conocido por introducir scripts maliciosos en webs de comercio electrónico para robar datos financieros. Y el ataque en British Airways no fue la excepción; los atacantes infectaron la web de la compañía. Los usuarios de la aplicación móvil también acabaron infectados debido a que la aplicación cargaba algunas funciones directamente de la web.

La multa del RGPD

Aunque British Airways informó a tiempo sobre el incidente y ayudó con la investigación, la empresa tendrá que enfrentarse también a la multa. Según las regulaciones del RGPD, las empresas que procesen datos personales de ciudadanos europeos deben hacer todo lo posible para garantizar la seguridad de la información y la investigación detectó que la web de la empresa no estaba bien protegida. Como es natural, tras el incidente la aerolínea introdujo nuevas medidas defensivas, pero esto no influye en su responsabilidad.

Facebook, que filtró datos de unos 87 millones de usuarios, solo se enfrentó a una multa de 500.000 libras en Europa. Según los requerimientos de la Ley de Protección de Datos de 1998 (la anterior al RGPD) esa era la máxima multa permitida.

Implementar medidas de seguridad es más económico que una posible multa

La posible multa de BA por la filtración del año pasado no es inamovible. La ICO considerará las solicitudes de otras autoridades europeas de protección de datos y de British Airways. Sin embargo, la cantidad es indicativa. Implementar las medidas de seguridad apropiadas y evitar estos incidentes es mucho más económico. Si procesas información personal de usuarios europeos, sobre todo información bancaria, te recomendamos que tomes medidas de inmediato y que no retrases la implementación de métodos de seguridad de confianza.

Una defensa preventiva es especialmente importante en comercios electrónicos o en la banca online, servicios que deben prestar especial atención para proteger sus webs de los scripts que merodean online. Nuestra plataforma Kaspersky Fraud Prevention incluye una solución llamada Análisis de fraudes automatizados que te permite analizar todo lo que sucede en una página web durante la sesión de un usuario. Puede identificar varias amenazas online, incluidos los scripts maliciosos. Para más información sobre esta solución, visita la sección Fraud Prevention de nuestra web corporativa.