GDPR en acción: British Airways recibe una sanción récord de más de 200 millones por su brecha de datos
La Oficina del Comisionado de Información de Reino Unido (ICO, por sus siglas en inglés, la agencia de protección de datos y transparencia) ha comunicado a British Airways, perteneciente al grupo IAG, su intención de multar a la aerolínea con 183,39 millones de libras (204,6 millones de euros) por la sustracción de datos de clientes desde la página web de la aerolínea.
La propuesta de sanción se produce después de que la compañía de IAG, a la que también pertenece Iberia, sufriera un ataque informático en el verano de 2018 con el robo de datos de clientes, "incluyendo su información financiera" de sus tarjetas de crédito. La compañía informó en un principio que el incidente afectó a 380.000 clientes, que luego rebajó a 244.000 pasajeros. Sin embargo, el ICO eleva ahora a 500.000 el número de potenciales afectados.
En concreto, los robos de datos afectaron a las reservas realizadas en la página web de la aerolínea entre los días 21 de agosto al 5 de septiembre de 2018, pero los clientes afectados son aquellos que realizaron sus reservas de billetes, utilizando sus tarjetas de crédito, entre el 21 de abril y el 28 de julio de ese año.
Durante ese periodo, los pagos con tarjeta fueron interceptados y los atacantes pudieron hacerse con nombres, apellidos, direcciones físicas y de correo electrónico, números de tarjetas y sus fechas de expiración y códigos de seguridad, datos suficientes para realizar compras o vaciar cuentas.
En este sentido, la ICO señaló ayer que en su investigación ha encontrado que una variedad de información se vio comprometida por “la falta de seguridad en la empresa”, incluidos el inicio de sesión, la tarjeta de pago y los datos de reserva de viaje, así como la información del nombre y la dirección.
“Los datos personales de las personas son solo eso, personales. Cuando una organización no puede protegerla de pérdidas, daños o robos, es más que un inconveniente. Por eso la ley es clara: cuando se le confían datos personales, debe cuidarlos. Aquellos que no lo hagan se enfrentarán al escrutinio de mi oficina para verificar que hayan tomado las medidas adecuadas para proteger los derechos fundamentales de privacidad”, señaló ayer en una nota la directora de la ICO, Elizabeth Denham. No obstante, el organismo admite que British Airways ha cooperado en la investigación y ha hecho mejoras en sus medidas de seguridad desde que se conoció el incidente.
El presidente y consejero delegado de la aerolínea británica, Alex Cruz, mostró su “sorpresa” y “decepción” por la propuesta de sanción inicial de la ICO. El directivo español destacó que la compañía respondió rápidamente al robo de datos de sus clientes, “sin encontrar evidencia de fraude o actividad fraudulenta en las cuentas relacionadas con la sustracción”.
Por su parte, el consejero delegado de IAG, Willie Walsh, anunció que British Airways efectuará las alegaciones pertinentes ante el ICO, incluyendo un recurso si se confirma la sanción. “Tenemos la intención de adoptar todas las medidas necesarias para defender vigorosamente la posición de la aerolínea, incluyendo cualquier apelación que considere necesaria”, puntualizó Walsh.
La multa propuesta por la autoridad británica equivale al 1,5% de los ingresos globales de British Airways en 2017. Se trata de la primera multa desde que entró en vigor, el pasado mes de mayo, la nueva legislación europea sobre protección de datos.
#ciberseguridad #ciberataque #ciberdelincuente #protecciondedatos #usofraudulentodedatos
Fuente: Elpais