Hack de British Airways: por que una multa récord de 183 millones de libras podría haber sido mucho mayor
La violación de datos de la aerolínea fue el primer caso importante bajo las nuevas reglas de GDPR
Pascal Pavani / AFP / Getty Images
British Airways recibió una multa de 183 millones de libras esterlinas por una importante violación de seguridad el año pasado, la mayor multa jamás impuesta por la Oficina del Comisionado de Información del Reino Unido (ICO).
La aerolínea dice que está sorprendida y decepcionada por la decisión y planea apelar.
Pero los expertos señalan que el regulador podría haber abofeteado a BA con una multa por un total de más del doble de esa cantidad, en virtud del Reglamento general de protección de datos (GDPR) a nivel europeo. Entonces, ¿cuáles son las nuevas reglas y por qué este caso fue tan importante?
¿Qué pasó en el hack de BA?
El 6 de septiembre, la aerolínea anunció que los datos personales y de pago de decenas de miles de clientes habían sido robados durante una violación de datos.
Los detalles de las tarjetas de pago, incluido el número, la fecha de vencimiento y el código de seguridad de tres dígitos o el 'valor de verificación de la tarjeta' (CVV), se extrajeron ilegalmente del sistema de reservas, informa El independiente .
BA dijo que los piratas informáticos habían llevado a cabo un ataque criminal sofisticado y malicioso, que comprometió 382.000 transacciones realizadas en su sitio web y aplicación entre el 21 de agosto y el 5 de septiembre. Se notificó a la policía y a las autoridades pertinentes, agregó la compañía.
Al disculparse con las personas afectadas, los jefes de BA dijeron que la violación se había resuelto y que los datos robados no incluían detalles de viaje o pasaporte. La firma había comenzado a contactar a los clientes en el momento en que se descubrió la infracción, agregó la aerolínea.
La ICO dijo esta semana que los usuarios del sitio web habían sido desviados a un sitio fraudulento, donde se recopilaron detalles de alrededor de 500.000 personas.
Tras el anuncio de la multa, el presidente de BA, Alex Cruz, dijo el lunes: British Airways respondió rápidamente a un acto delictivo para robar datos de los clientes. No hemos encontrado evidencia de fraude / actividad fraudulenta en cuentas vinculadas al robo.
¿Dónde entra GDPR?
La multa de BA es la primera que se hace pública bajo las nuevas reglas, que entraron en vigencia en mayo de 2018 en la mayor reorganización a la privacidad de datos en 20 años, dice el BBC .
Hasta ahora, la mayor sanción fue de 500.000 libras esterlinas, impuesta a Facebook por su papel en el escándalo de datos de Cambridge Analytica. Ese era el máximo permitido según las antiguas reglas de protección de datos que se aplicaban antes del GDPR, dice la emisora.
Las nuevas reglas permiten una pena máxima del 4% del volumen de negocios de la parte culpable, que para BA habría ascendido a 488 millones de libras. En cambio, la sanción infligida asciende al 1,5% de la facturación de la aerolínea en 2017 y es considerablemente más baja que el máximo de 488 millones de libras esterlinas.
El caso ha despertado un interés considerable como el primero de su tipo, como señaló la periodista de ciberseguridad Kate O’Flaherty en un artículo para Forbes septiembre pasado.
Ian Thornton-Trump, un veterano de la industria de la ciberseguridad, le dijo a O'Flaherty que sería una decisión difícil para la ICO. Todo el mundo quiere que el RGPD tenga fuerza, por lo que la ICO tiene que encontrar el equilibrio adecuado aquí, explicó.
La violación de BA no fue tan mala como algunos otros ataques recientes, como el sufrido por Equifax en 2017 , y la multa máxima podría llevar a BA al punto de la insolvencia, agregó Thornton-Trump.
Él predijo una multa en el rango de £ 5 millones a £ 10 millones, y agregó: Eso es sustancial, pero no pone a la empresa en riesgo y no es 'demasiado político'.
Al protestar contra la multa de £ 183 millones anunciada esta semana, Willie Walsh, director ejecutivo de International Consolidated Airlines Group (IAG), la empresa matriz de BA, dijo: Tenemos la intención de tomar todas las medidas apropiadas para defender la posición de la aerolínea enérgicamente, incluida la realización de las apelaciones necesarias. .
