Multan a British Airways con 22 M€ por el robo de datos de 429.600 clientes

Se cree que el atacante potencialmente ha accedido a los datos personales de aproximadamente 429.612 clientes y empleados. Esto incluyó nombres, direcciones, números de tarjetas de pago y números CVV de 244.000 clientes de BA. Otros detalles que se cree que se han accedido incluyen la tarjeta combinada y los números CVV de 77.000 clientes y los números de tarjeta solo para 108.000 clientes.

También se pudo acceder a nombres de usuario y contraseñas de cuentas de empleados y administradores de BA, así como a nombres de usuario y PIN de hasta 612 cuentas de BA Executive Club.

En efecto, la investigación de la ICO determinó que la aerolínea estaba procesando una cantidad significativa de datos personales sin las medidas de seguridad adecuadas. Esta falla infringió la ley de protección de datos y, posteriormente, BA fue objeto de un ciberataque durante 2018, que no detectó durante más de dos meses.

La comisionada de Información Elizabeth Denham afirmó que las personas confiaron sus datos personales a BA y BA no tomó las medidas adecuadas para mantener esos datos seguros.

“Su falta de actuación fue inaceptable y afectó a cientos de miles de personas, lo que puede haber causado algo de ansiedad y angustia como resultado. Por eso hemos emitido a BA una multa de 20 millones de libras esterlinas, la mayor hasta la fecha".

Debido a que la infracción de BA ocurrió en junio de 2018, antes de que el Reino Unido abandonara la UE, la ICO investigó en nombre de todas las autoridades de la UE como autoridad supervisora ​​principal según el RGPD. La sanción y la acción han sido aprobadas por las otras APD de la UE a través del proceso de cooperación del GDPR.

En junio de 2019, la ICO emitió BA con un aviso de intención de multa. Como parte del proceso regulatorio, la ICO consideró tanto las representaciones de BA como el impacto económico de COVID-19 en su negocio antes de establecer una sanción final (ver: Multa millonaria a British por incumplir la ley de protección de datos).

Desconocimiento del ataque

Los investigadores de ICO descubrieron que BA no detectó el ataque el 22 de junio de 2018, pero fue alertado por un tercero más de dos meses después, el 5 de septiembre. Una vez que se dieron cuenta, BA actuó rápidamente y notificó a la ICO.

No está claro si BA habría identificado el ataque ni cuándo lo habría hecho, lo que se consideró una falla grave debido al número de personas afectadas y porque cualquier daño financiero potencial podría haber sido más significativo.

ICO agrega que British Airways podría haber utilizado numerosas medidas para mitigar o prevenir el riesgo de que un atacante pudiera acceder a su red como limitar el acceso a aplicaciones, datos y herramientas, en cuanto a lo que se requiere para cumplir la función de un usuario.

Asimismo, señala que puede realizar pruebas rigurosas, en forma de simulación de un ciberataque, en los sistemas de la empresa o protegiendo las cuentas de los empleados y de terceros con autenticación multifactor, entre las principales.