Robados datos de 380.000 clientes de British Airways

La aerolínea británica British Airways ha denunciado la sustracción de datos de 380.000 clientes a través de su página web y de la aplicación móvil.

La compañía aclaró que la información de los clientes, tanto personal como financiera, se vio comprometida desde las 23:58 del pasado 21 de agosto hasta las 22:45 del 5 de septiembre (hora española).

El presidente y consejero delegado de la aerolínea, Alex Cruz, señaló que se ha puesto a las autoridades pertinentes en conocimiento de lo ocurrido. También aseguró que la situación ya se ha resuelto y que en estos momentos su web opera con normalidad.

[Actualización 13/09/2018] El investigador de seguridad Yonathan Klijnsma de la empresa RiskIQ ha aportado nuevos datos sobre esta brecha de seguridad, relacionándola directamente con el grupo Magecart. Al parecer, los atacantes lograron hacerse con el control del servidor, ocultando código Javascript dentro de la librería Modernizr, encargada de recolectar la información, tanto en la web de la compañía como en la aplicación móvil.

[Actualización 29/10/2018] Posteriores investigaciones han revelado que los atacantes podrían haber robado datos personales adicionales y están notificando a los titulares de 77.000 tarjetas de pago, no notificados previamente, que el nombre, la dirección de facturación, la dirección de correo electrónico, la información de pago de la tarjeta, incluido el número de tarjeta, la fecha de caducidad y el CVV (Card Verification Value) han sido potencialmente comprometidos, y otros 108.000 sin CVV. Los clientes potencialmente afectados fueron aquellos que sólo hicieron reservas entre el 21 de abril y el 28 de julio de 2018, y que utilizaron una tarjeta de pago. Además, han descubierto que de los 380.000 datos de tarjetas de pago anunciados inicialmente como afectados por el ataque, sólo 244.000 se vieron afectados.

[Actualización 12/11/2018] La aerolínea ha admitido que, desde septiembre de 2018, 185.000 personas más podrían haber sido afectadas, lo que dejaría el número total en 565.000 clientes. El lapso de tiempo para informar a las 185.000 víctimas adicionales puede haberlas expuesto a un mayor riesgo de fraude cibernético, ya que sus datos han quedado al descubierto y han permanecido inalterados durante más tiempo.

[Actualización 08/07/2019] British Airways se enfrenta a una multa récord de 183 millones de libras esterlinas (205 millones de euros), impuesta por la Oficina del Comisionado de Información (ICO, Information Commissioner's Office), por infringir el Reglamento General de Protección de Datos (GDPR). La investigación de la ICO ha revelado que una gran variedad de información se vio comprometida por las malas medidas de seguridad en la empresa, como el inicio de sesión, la tarjeta de pago y los datos de las reservas de viajes, así como el nombre y la dirección. La empresa tendrá ahora la oportunidad de presentar observaciones ante la ICO en relación con las conclusiones y sanciones propuestas.

[Actualización 20/10/2020] La Oficina del Comisionado de Información (ICO) ha impuesto una multa de 20 millones de libras a la aerolínea, British Airways (BA) por incumplir algunas directrices de la Ley de Protección de Datos que afectaron a aproximadamente 429.000 de sus clientes y empleados. Las investigaciones justifican que BA podría haber identificado y resuelto algunas de las debilidades en su seguridad con las medidas de las que disponía en aquel momento, evitando así incidentes como el de 2018.