British Airways se ha convertido en la primera gran compañía que verá cómo se le aplica el Reglamento General de Protección de Datos tras una fuga de datos. Hasta el momento, la aerolínea británica ha cumplido con lo estipulado por el RGPD, obligaciones como la comunicación del incidente en un período inferior a 72 horas, tanto a las autoridades de control como a los afectados. Te contamos lo sucedido en este post de Conversia.
Robo de datos en la web y la aplicación de British Airways
El jueves 6 de septiembre, British Airways informaba a través de un comunicado que la aerolínea había sufrido un robo de datos. Concretamente, los afectados eran aquellos usuarios que habían reservado vuelos a través de la web y de la aplicación móvil entre el 21 de agosto y el 5 de septiembre. A pesar de que la compañía no especificó el número de clientes afectados, especialistas en hacking ético estimaron que se trataba de 380.000 usuarios.
British Airways informó a la policía, a la oficina del Comisionado de Información y a los usuarios afectados del robo. Asimismo, la aerolínea especificó que los datos personales sustraídos incluían nombres, direcciones de domicilio y correos electrónicos de los clientes, así como la información de la tarjeta electrónica (número, fecha de vencimiento y el código de tres dígitos CVV). Sin embargo, la compañía aclaró que los hackers no obtuvieron ni los números de pasaporte ni los detalles de los viajes, como tampoco ningún tipo de dato que hubiese sido almacenado con anterioridad a las fechas especificadas. Es más, la compañía asegura que no almacena los códigos CVV (prohibido por la legislación internacional), hecho que demostraría que los detalles de la tarjeta fueron interceptados durante el momento de pago y no extraídos de ninguna base de datos de la aerolínea.
British Airways pagará a los que hayan perdido dinero
El consejero delegado de British Airways, Alex Cruz, pidió perdón a los clientes y calificó el incidente de “ataque criminal y malicioso” y de “violación sofisticada” de los sistemas de seguridad de la compañía. Cruz contó a la BBC que descubrieron “que algo había pasado el miércoles por la tarde, pero no sabíamos qué era. Nuestros equipos estuvieron trabajando toda la noche intentando precisar la extensión del ataque”. “Lo primero que hicimos fue averiguar si era algo serio y quién estaba afectado. Cuando nos dimos cuenta de que los datos reales de nuestros clientes resultaron comprometidos, lo comunicamos inmediatamente”.
El problema ya ha sido solucionado y la aerolínea aconseja a los clientes afectados que se pongan en contacto con sus bancos o proveedores de tarjetas de crédito para vigilar que no se realicen cargos ilícitos. Con los datos extraídos, los delincuentes podrían acceder a las cuentas de las víctimas y realizar transacciones, así como vender los datos a otros criminales. En este mismo sentido, la compañía ha prometido que compensará a todos aquellos usuarios afectados que pierdan dinero a causa del robo de datos.
En la actualidad, la Agencia Nacional del Crimen está investigando el caso. Según expertos en ciberseguridad de la compañía RiskIQ, los hackers usaron un complejo código para interceptar los datos, incluso aquellos que no eran almacenados por la aerolínea.
El cambio que supone el RGPD
El RGPD lo ha cambiado todo. Antes del 25 de mayo de 2018 las empresas no solían comunicar sus incidentes relacionados con robos o fugas de datos hasta pasados unos años o hasta que algún medio los descubría, como ocurrió con Yahoo o con el caso de Cambridge Analytica que contábamos en este blog de Conversia. Con la entrada en vigor del RGPD las compañías disponen de 72 horas para informar a las autoridades y a los afectados de lo ocurrido. De no hacerlo, las empresas se enfrentan a multas millonarias que pueden llegar al 4% de los ingresos anuales globales de la compañía.
De momento, British Airways ha cumplido con el plazo de notificación. Ahora las autoridades deberán investigar si se habían tomado todas las medidas necesarias. Según el periódico El Mundo, los ingresos totales de la aerolínea británica alcanzaron los 9.963 millones de euros en 2017, por lo que la multa podría ascender a casi 400 millones de euros. Antes del RGPD, el regulador de Reino Unido podía multar con un máximo de 560.000 euros por la misma infracción.
British Airways pertenece al grupo International Airline Group (IAG) junto con Iberia y Air Lingus. Al día siguiente del anuncio del robo de datos, el grupo perdió hasta 456 millones de euros de su valor en bolsa.
Descubre más noticias relacionadas con la protección de datos y el RGPD en nuestro blog de Conversia.
Interesante artículo