La compañía de aerolíneas British Airways ha sido multada recientemente por la Oficina del Comisionado (ICO) de Gran Bretaña con 20 millones de libras (algo más de 22 millones de euros) debido a una brecha de seguridad en su sistema ocurrida hace dos años.
Un poco de historia
A principios de septiembre del año 2018, British Airways realizó un comunicado notificando que había habido una intrusión en su sistema entre el 21 de agosto y el 5 de septiembre por el cual se vieron comprometidos datos de algo más de 380.000 usuarios (aunque posteriormente se supo que habían sido cerca de 430.000) que habían hecho transacciones tanto con su app (BA.com) como a través de su página web.
Los datos que se vieron comprometidos comprendían tanto datos personales (nombre, dirección…) como datos financieros (números de tarjeta de crédito, fechas de vencimiento, CVV…) y solo se habían visto vulnerados aquellos clientes que habían comprado billetes durante las fechas indicadas.
Inmediatamente se pusieron en contacto con los usuarios afectados por el robo para que pudieran gestionar junto con sus entidades bancarias las acciones oportunas para estos casos.
Pero…¿Cómo se hicieron los hackers con estos datos?
Los datos sustraídos contemplaban datos personales y datos financieros, incluido el código CVV de la tarjeta de crédito.
Desde British Airways aseguraron que esa numeración no era almacenada en sus bases de datos ya que conllevaría una vulneración de los estándares internacionales establecidos por el PCI Security Standards Council.
Tras una investigación, se supo que el ciberataque había sido perpetrado por el grupo Magecarts mediante un JavaScript modificado específicamente para atacar a British Airways y que no pudiera ser detectado por el sistema de seguridad de la compañía.
Básicamente, dicho script lo que haría es recoger los datos del cliente desde el formulario de la web o la app una vez la persona presionaba sobre el botón de pago, enviándose dichos datos a un dominio llamado baways.com situado en Rumanía.
Más fallos por parte de BA
En los últimos tiempos, el branding de la empresa se ha visto afectado por varias incidencias:
– En mayo del año 2017 se cancelaron todos los vuelos entre Heathrow y Gartwick debido a fallos técnicos que afectaron a los centros de llamadas, el sitio web y la app móvil. En su momento se achacó el fallo a técnico a los cambios realizados unos meses atrás para ahorrar costes en sus sistemas TI.
– En junio del 2018 se cancelaron billetes de unos 2.000 pasajeros entre Tel Aviv y Dubái debido a que billetes que suelen costar más de 200 € se pusieron a la venta por algo más de 1 € por error.
– En julio de ese mismo año, se cancelaron docenas de vuelos en el aeropuerto de Heathrow por problemas técnicos en el sistema informático.
– En agosto del 2019 vuelve a sufrir un fallo informático dejando a miles de pasajeros en tierra provocando cancelaciones y retrasos en varios aeropuertos del Reino Unido.
Finalmente, la multa fue rebajada
La Oficina del Comisionado de Información (ICO) propuso primeramente una multa por el robo de datos de 204 millones de euros.
Para ello se basaba en que la empresa no había sabido salvaguardar correctamente los datos de los clientes que habían confiado en la compañía.
Según la OIC, la empresa no supo tomar medidas suficientes en torno a esos datos para que no fueran sustraídos ni había probado sus sistemas de seguridad ante un posible ciberataque.
Finalmente, y debido a la pandemia de covid-19 que afecta actualmente a todo el planeta y también al sector del transporte, la multa se ha rebajado a 22 millones de euros. Aún así es la mayor sanción administrativa aplicada hasta el momento por la OIC.
FUENTES: BBC, Forbes, DiarioTI, Riskiq
IMAGEN: Riskiq, BA
