La Oficina del Comisionado (ICO) de Gran Bretaña ha impuesto una multa de 20 millones de libras esterlinas a British Airways por un acto de intrusión informática del que fue víctima en 2018, donde desconocidos sustrajeron datos de tarjetas de crédito e información personal de 429.612 personas.
Los datos de los clientes fueron extraídos del sitio web y la aplicación móvil de BA en un ataque a gran escala perpetrado entre el 21 de agosto y el 5 de septiembre de 2018. La aerolínea sostuvo inicialmente que 380.000 clientes y funcionarios de BA habían sido afectados, pero debió actualizar el número a medida que se avanzaba en la investigación. El número definitivo de afectados fue de 429.612, según la OIC.
Los datos robados incluían información de acceso, PIN, datos de la tarjeta de pago, números de CVV y contraseñas, información de reserva de viajes, como asimismo nombres y direcciones.
En julio del año pasado se informó que BA podría ser multada con 183 millones de libras esterlinas por la brecha.
La OIC dice que el impacto de la pandemia, que ha golpeado a las aerolíneas con especial dureza, fue la razón de la reducción de la multa. Sin embargo, sigue representando la mayor sanción administrativa aplicada hasta ahora por la OIC, recalcan medios británicos. “La gente confió sus datos personales a BA y BA no tomó las medidas adecuadas para mantener esos datos seguros”, dijo la Comisionada de Información Elizabeth Denham en una declaración. “Su incapacidad de actuar fue inaceptable y afectó a cientos de miles de personas, lo que puede haber causado cierta ansiedad y angustia como resultado. Por eso hemos multado a BA con 20 millones de libras, la mayor emitida hasta la fecha”.
La OIC dijo que BA no había implementado suficientes medidas de seguridad en torno a los datos, a pesar de que se habían incorporado a su sistema medidas que podrían haber evitado el hackeo, como la autenticación multifactor. La empresa tampoco había probado sus sistemas, según se constató.
La investigación reveló que el ataque fue perpetrado por el grupo autodenominado Magecarts, cuyo modus operandi fue una inyección de JavaScript. El grupo adaptó un JavaScript para evitar ser detectado por los sistemas de BA.
BA recordó que los clientes fueron alertados del ataque tan pronto se tuvo noticia de éste. “Nos complace que la OIC reconozca que hemos mejorado considerablemente la seguridad de nuestros sistemas desde el ataque y que hemos cooperado plenamente con su investigación”, dijo un portavoz de BA.
Fotografía: Arie Wubben via Unsplash