锘緽ritish Airways es multada con GBP 20 millones por brecha de datos

La multa fue rebajada considerablemente del importe inicial de GBP 183 millones debido a la pandemia, se帽al贸 la entidad reguladora ICO.

La Oficina del Comisionado (ICO) de Gran Breta帽a ha impuesto una multa de 20 millones de libras esterlinas a British Airways por un acto de intrusi贸n inform谩tica del que fue v铆ctima en 2018, donde desconocidos sustrajeron datos de tarjetas de cr茅dito e informaci贸n personal de 429.612 personas.

Los datos de los clientes fueron extra铆dos del sitio web y la aplicaci贸n m贸vil de BA en un ataque a gran escala perpetrado entre el 21 de agosto y el 5 de septiembre de 2018. La aerol铆nea sostuvo inicialmente que 380.000 clientes y funcionarios de BA hab铆an sido afectados, pero debi贸 actualizar el n煤mero a medida que se avanzaba en la investigaci贸n. El n煤mero definitivo de afectados fue de 429.612, seg煤n la OIC.

Los datos robados inclu铆an informaci贸n de acceso, PIN, datos de la tarjeta de pago, n煤meros de CVV y contrase帽as, informaci贸n de reserva de viajes, como asimismo nombres y direcciones.

En julio del a帽o pasado se inform贸 que BA podr铆a ser multada con 183 millones de libras esterlinas por la brecha.

La OIC dice que el impacto de la pandemia, que ha golpeado a las aerol铆neas con especial dureza, fue la raz贸n de la reducci贸n de la multa. Sin embargo, sigue representando la mayor sanci贸n administrativa aplicada hasta ahora por la OIC, recalcan medios brit谩nicos. “La gente confi贸 sus datos personales a BA y BA no tom贸 las medidas adecuadas para mantener esos datos seguros”, dijo la Comisionada de Informaci贸n Elizabeth Denham en una declaraci贸n. “Su incapacidad de actuar fue inaceptable y afect贸 a cientos de miles de personas, lo que puede haber causado cierta ansiedad y angustia como resultado. Por eso hemos multado a BA con 20 millones de libras, la mayor emitida hasta la fecha”.

La OIC dijo que BA no hab铆a implementado suficientes medidas de seguridad en torno a los datos, a pesar de que se hab铆an incorporado a su sistema medidas que podr铆an haber evitado el hackeo, como la autenticaci贸n multifactor. La empresa tampoco hab铆a probado sus sistemas, seg煤n se constat贸.

La investigaci贸n revel贸 que el ataque fue perpetrado por el grupo autodenominado Magecarts, cuyo modus operandi fue una inyecci贸n de JavaScript. El grupo adapt贸 un JavaScript para evitar ser detectado por los sistemas de BA.

BA record贸 que los clientes fueron alertados del ataque tan pronto se tuvo noticia de 茅ste. “Nos complace que la OIC reconozca que hemos mejorado considerablemente la seguridad de nuestros sistemas desde el ataque y que hemos cooperado plenamente con su investigaci贸n”, dijo un portavoz de BA.

Fotograf铆a: Arie Wubben via Unsplash


Destacamos

Contacto | Diario TI es una publicaci贸n de MPA Publishing International Ltd.