British Airways, multada con 200 millones por fuga de información según normativa RGPD

British Airways, multada con 200 millones por fuga de información según normativa RGPD

La aerolinea comercial British Airways -una de las principales a nivel mundial- ha sufrido un serio varapalo esta pasada semana, al saberse que se le ha impuesto a una cuantiosa multa por incumplir la RGPD / GPDR o normativa de protección de datos intracomunitaria de la UE.

¿No sabes qué es la RGPD o cómo cumplirla? Quizá de interese revisar este artículo.

Se ha producido una fuga información personal de clientes tras un ciberataque, ocurrido el año pasado, con la consecuencia de la pérdida de información personal y de tarjetas de unos 500000 clientes.

British Airways sufre una fuerte multa a cuenta de la RGPD

Estaríamos hablando de la mayor multa impuesta hasta la fecha (por parte del UK’s Information Commissioner’s Office o ICO) en base a la normativa que entró en vigor el pasado año 2016.

Estamos hablando exactamente de 183 millones de Libras inglesas por este caso, algo que contrasta con la descafeinada multa impuesta a Facebook por el caso Cambridge Analytica, de solo 500000. En otro caso diferente, como es el reciente por competencia desleal contra Google, sin embargo, se superaron los 4 billones de €.

El motivo de que British Airways haya sido tan fuertemente penalizada (aunque, de hecho, aún no es sanción firme) se debe principalmente a que los hechos en el caso de Facebook ocurrieron antes de la entrada en vigor de la GPDR, mientras en el caso de la primera han ocurrido después.

Las sanciones que establece la RGPD en Europa alcanzan hasta un 4% de los ingresos de una empresa en un ejercicio completo, o bien 20 millones de Euros, lo que suponga una cuantía más elevada.

En el caso de British Airways se habría propuesto sanción a razón de 1,5% de la facturación obtenida en 2017.

El caso British Airways en detalle

Entrando un poco más a fondo en lo que ha sucedido con esta empresa, hemos sabido que los hackers pudieron colarse en los sistemas de BA y plantaron una versión modificada maliciosamente de la librería Javascript Modernizr, en la web de pagos de la empresa.

Código malicioso Modernizr

El código modificado fue usado por los clientes desde la web o app móvil y llevaba a los mismos a un servidor llamado baways.com. Se obtuvieron nombres, direcciones, cuentas de email e información de pagos que incluía números de tarjeta, fechas de caducidad y códigos CVV. 

Conclusiones

En el caso de British Airways no se sabe muy bien cómo lograron los hackers entrar a su red, pero lo que se ha penalizado claramente es la incapacidad por parte de los empleados de la empresa para detectar que durante meses una librería JS modificada habría estado operando bajo el radar.

Esto se podría haber evitado, por ejemplo, usando un sistema FIM (File Integrity Monitoring) para detectar cambios en los archivos de los servidores.

La GPDR o RGPD (según donde se la mencione) castiga duramente la laxitud o dejadez de las empresas cuando se trata de proteger los datos de los usuarios, además de por supuesto la forma de comunicar la posible fuga de información de los mismos.

Esto es algo que debería meter el miedo en el cuerpo a toda empresa, por pequeña o grande que sea.

Autor: Alejandro Sánchez

Alejandro es técnico micro-informático, experto en seguridad de las TIC y apasionado de la tecnología. Colabora habitualmente en diferentes publicaciones de seguridad, software y análisis de hardware entusiasta.