La Oficina del Comisionado de Información de Gran Bretaña (ICO), multó a British Airways con una multa récord de 183 millones de libras, por no proteger la información personal de aproximadamente medio millón de sus clientes durante la violación de seguridad el año pasado.
British Airways, que se describe a sí misma como «la aerolínea favorita del mundo», reveló una infracción el año pasado que expuso los datos personales y números de tarjetas de crédito de hasta 380 mil clientes, y duró más de dos semanas.
En ese momento, la compañía confirmó que los clientes que reservaron vuelos en su página web oficial y la aplicación móvil de British Airways entre el 21 de agosto y el 5 de septiembre, habrían sido robados por los atacantes.
El ataque cibernético se atribuyó posteriormente al grupo de hackers Magecart, uno de los grupos de piratas más notorios especializados en robar datos de tarjetas de créditos de sitios web con poca seguridad, especialmente en las plataformas de comercio electrónico.
Los hackers de Magecart fueron conocidos por usar un skimmer de tarjeta de crédito digital en el que insertan secretamente algunas líneas de código malicioso en la página de pago de un sitio web comprometido que captura los datos de pago de los clientes y luego los envía a un servidor remoto.
Además de British Airways, los hackers de Magecart también fueron responsables de violaciones de tarjetas en sitios que pertenecen a compañías importantes, como TicketMaster, Newegg, entre otros comerciantes en línea.
En un comunicado emitido hoy, ICO informó que su extensa investigación descubrió que una variedad de información relacionada con los clientes de British Airways se vio comprometida por «malos acuerdos de seguridad» en la compañía, incluidos sus nombres y direcciones, registros de entrada, datos de tarjetas de pago y detalles de reservas de viajes.
«Los datos personales de las personas son solo eso: personales. Cuando una organización no puede protegerlos de pérdidas, daños o robos, es más que un inconveniente», dijo la comisionada de información Elizabeth Denham.
«Es por eso que la ley es clara: cuando se le confían datos personales, debe cuidarlos. Aquellos que no lo hagan, serán revisados por mi oficina para verificar que hayan tomado las medidas adecuadas para proteger los derechos fundamentales de privacidad», agregó.
Sin embargo, ICO también dijo que British Airways ha cooperado con su investigación y ha hecho mejoras a los acuerdos de seguridad desde que salió a la luz la violación de datos del año pasado.
Desde que se produjo la violación de datos después de que la Regulación General de Protección de Datos (GDPR), de la UE entró en vigencia en mayo de 2018, se impuso una multa de 183.39 millones de libras a British Airways, que es el equivalente al 1.5% del volumen de negocios mundial de la compañía para su cuenta financiera de 2017, pero sigue siendo inferior al máximo posible del 4%.
En respuesta al anuncio de ICO, British Airways, propiedad de IAG, dijo que la compañía estaba «sorprendida y decepcionada» por la multa de ICO.
«British Airways respondió rápidamente a un acto criminal para robar los datos de los clientes. No hemos encontrado evidencia de fraude o actividad fraudulenta en cuentas vinculadas al robo. Pedimos disculpas a nuestros clientes por cualquier inconveniente que este evento haya causado», dijo Alex Cruz, presidente y director ejecutivo de British Airways.
