Una filtración de datos que cuesta 183 millones de libras esterlinas
El otoño pasado British Airways declaró que, desde el 21 de agosto hasta el 5 de septiembre, unos cibercriminales ganaron acceso a los datos de los usuarios que compraron o modificaron sus billetes en la web o en la aplicación móvil de la compañía. Los atacantes robaron la información de aproximadamente 500,000 clientes, que incluía todo lo que las víctimas habían introducido en los formularios online: nombres de usuario y contraseñas, nombres y direcciones, información de la tarjeta bancaria, incluidos los códigos CVC, entre otras cosas.
Tras la investigación se llegó a la conclusión de que British Airways había sido atacada por un grupo de cibercriminales Magecart, conocido por introducir scripts maliciosos en webs de comercio electrónico para robar datos financieros. Y el ataque en British Airways no fue la excepción; los atacantes infectaron la web de la compañía. Los usuarios de la aplicación móvil también acabaron infectados debido a que la aplicación cargaba algunas funciones directamente de la web.
La multa del GDPR
Pese a que British Airways informó a tiempo sobre el incidente y ayudó con la investigación, la empresa tendrá que enfrentarse también a la multa. Según las regulaciones del GDPR (Reglamento General de Protección de Datos europeo, por sus siglas en inglés; o RGDP), las empresas que procesen datos personales de ciudadanos europeos deben hacer todo lo posible para garantizar la seguridad de la información; la investigación detectó que la seguridad del sitio web de la empresa era insuficiente. Como es natural, tras el incidente, la aerolínea introdujo nuevas medidas defensivas, pero esto no influye en su responsabilidad.
Facebook, que filtró datos de unos 87 millones de usuarios, solo se enfrentó a una multa de 500,000 libras esterlinas en Europa. Según los requerimientos de la Ley de Protección de Datos de 1998 (precursora del GDPR) esa era la máxima multa permitida.
Implementar medidas de seguridad es más económico que una posible multa
La posible multa de BA por la filtración del año pasado no es inamovible. La ICO considerará las solicitudes de otras autoridades europeas de protección de datos y de British Airways. Sin embargo, la cantidad es indicativa. Implementar las medidas de seguridad apropiadas y evitar estos incidentes es mucho más económico. Si procesas información personal de usuarios europeos, sobre todo información bancaria, te recomendamos que tomes medidas de inmediato y que demores la implementación de métodos de seguridad de confianza.
Una defensa preventiva es especialmente importante en comercios electrónicos o en la banca online, los cuales deben prestar especial atención para proteger sus webs de los scripts que merodean online. Nuestra plataforma Kaspersky Fraud Prevention incluye una solución llamada Análisis de fraudes automatizados que te permite analizar todo lo que sucede en una página web durante la sesión de un usuario. Puede identificar varias amenazas online, incluidos los scriptsmaliciosos. Para más información sobre esta solución, visita la sección Fraud Prevention de nuestra web corporativa.