Home Sociedad British Airways se enfrenta a una multa récord de 230 millones de...

British Airways se enfrenta a una multa récord de 230 millones de dólares, por el robo de información de usuarios

Foto: BEN STANSALL/AFP/Getty Images.

El regulador del Reino Unido, la Oficina del Comisionado de Información (ICO), indicó que la multa de 183,39 millones de libras esterlinas (230 millones de dólares), se impuso debido a los “malos acuerdos de seguridad” en el transportista, lo que llevó al compromiso de los datos personales de alrededor de medio millón de clientes.

“Los datos personales de los individuos, son sólo eso: personales. Cuando una organización no logra protegerla de pérdidas, daños o robos, es más que un inconveniente”, dijo la comisionada de información, Elizabeth Denham.

“Por eso la ley es clara: cuando se le confían datos personales, debe cuidarlos. Aquellos que no lo hagan se enfrentarán al escrutinio de mi oficina para comprobar que han tomado las medidas adecuadas para proteger los derechos fundamentales de privacidad”.

La multa es la mayor impuesta por el ICO, al menos públicamente, pero sigue representando sólo alrededor del 1,5% de la facturación anual global de la aerolínea a partir de 2017, muy por debajo del máximo permitido del 4%.

Dicho esto, BA apelará a la OIC. El Presidente y Director General, Alex Cruz, afirmó que la empresa respondió rápidamente al incidente y que no ha encontrado ” prueba alguna” de que los datos se estén utilizando en el fraude subsiguiente.

Sin embargo, los investigadores de seguridad, afirmaron haber encontrado la información personal robada a la venta en línea apenas una semana después del incidente.

El ataque implicó una forma cada vez más popular de código digital de skimming conocido como Magecart, que fue insertado encubiertamente en el sitio de BA para recoger información de la tarjeta de usuario sin su conocimiento.

BA puede sentirse un poco agraviado por el tamaño de la multa, ya que, según se informa, el ataque fue muy selectivo, y los delincuentes diseñaron su malicioso JavaScript para que se mezclara con el fondo. El servidor de C&C al que se extraían los datos también estaba protegido con un certificado SSL de Comodo legítimo.

Según lo precisado por la OIC, se robaron datos de acceso, tarjeta de pago y reserva de viajes, así como el nombre y la dirección.

Raef Meeuwisse, orador experto y autor de ISACA, argumentó que los comentaristas deben abstenerse de emitir juicios hasta que se conozca el resultado de la apelación de BA.

“Esta multa es una oportuna llamada de atención para las empresas que consideran que la falta de inversión, especialmente en ciberseguridad, es una economía falsa. También es un recordatorio de que no se pueden dejar las actividades de terceros de misión crítica con nada menos que niveles de seguridad verificados de misión crítica”, agregó.

Por último, Meeuwisse aseveró que “de todos modos, creo que debemos esperar el resultado de cualquier apelación y cuál es el monto final de la multa. Si la cantidad se reduce sustancialmente durante el proceso de apelación, entonces los ejecutivos de otras organizaciones que están a punto de aumentar los niveles de riesgo y la inversión en privacidad y seguridad de datos probablemente respirarán un suspiro de alivio”.

Con información de: El País.