La Oficina del Comisionado de Información (ICO, por sus siglas en inglés) del Reino Unido ha declarado que va a multar a British Airways con 183 millones de libras para la pérdida de datos del año pasado. Para poner las cosas en perspectiva, es un centenar de veces más grande que la multa que recibió Facebook recibió de la UE por el caso de Cambridge Analytica. En esta publicación, te contamos qué ha pasado, por qué hay tanta diferencia entre ambas multas y por qué es importante considerar la protección de los datos en primera estancia.
La filtración de datos de British Airways: ¿qué salió mal?
El otoño pasado British Airways declaró que, desde el 21 de agosto hasta el 5 de septiembre, unos cibercriminales ganaron acceso a los datos de los usuarios que compraron o modificaron sus billetes en la web o en la aplicación móvil de la compañía. Los atacantes robaron la información de aproximadamente 500,000 clientes, que incluía todo lo que las víctimas habían introducido en los formularios online: nombres de usuario y contraseñas, nombres y direcciones, información de la tarjeta bancaria, incluidos los códigos CVC, entre otras cosas.
Tras la investigación se llegó a la conclusión de que British Airways había sido atacada por un grupo de cibercriminales Magecart, conocido por introducir scripts maliciosos en webs de comercio electrónico para robar datos financieros. Y el ataque en British Airways no fue la excepción; los atacantes infectaron la web de la compañía. Los usuarios de la aplicación móvil también acabaron infectados debido a que la aplicación cargaba algunas funciones directamente de la web.
La multa del GDPR
Pese a que British Airways informó a tiempo sobre el incidente y ayudó con la investigación, la empresa tendrá que enfrentarse también a la multa. Según las regulaciones del GDPR (Reglamento General de Protección de Datos europeo, por sus siglas en inglés; o RGDP), las empresas que procesen datos personales de ciudadanos europeos deben hacer todo lo posible para garantizar la seguridad de la información; la investigación detectó que la seguridad del sitio web de la empresa era insuficiente. Como es natural, tras el incidente, la aerolínea introdujo nuevas medidas defensivas, pero esto no influye en su responsabilidad.
Facebook, que filtró datos de unos 87 millones de usuarios, solo se enfrentó a una multa de 500,000 libras esterlinas en Europa. Según los requerimientos de la Ley de Protección de Datos de 1998 (precursora del GDPR) esa era la máxima multa permitida.
Implementar medidas de seguridad es más económico que una posible multa
La posible multa de BA por la filtración del año pasado no es inamovible. La ICO considerará las solicitudes de otras autoridades europeas de protección de datos y de British Airways. Sin embargo, la cantidad es indicativa. Implementar las medidas de seguridad apropiadas y evitar estos incidentes es mucho más económico. Si procesas información personal de usuarios europeos, sobre todo información bancaria, te recomendamos que tomes medidas de inmediato y que demores la implementación de métodos de seguridad de confianza.
Una defensa preventiva es especialmente importante en comercios electrónicos o en la banca online, los cuales deben prestar especial atención para proteger sus webs de los scripts que merodean online. Nuestra plataforma Kaspersky Fraud Prevention incluye una solución llamada Análisis de fraudes automatizados que te permite analizar todo lo que sucede en una página web durante la sesión de un usuario. Puede identificar varias amenazas online, incluidos los scripts maliciosos. Para más información sobre esta solución, visita la sección Fraud Prevention de nuestra web corporativa.