Brecha de seguridad en British Airways cuestiona su política de externalización IT

Cortesía British Airways

Una fuga masiva de datos de las tarjetas de más de 300.000 viajeros producida por un ciberataque cuestiona seriamente el nivel de seguridad de los datos de British Airways (BA) y que pone en duda la externalización IT low-cost llevada a cabo en los últimos años.

Desde la compañía se ha indicado que con carácter de urgencia han iniciado las investigaciones, y han recomendado a los afectados a comunicarse con sus respectivas entidades bancarias.

La intención es estar atentos a sus movimientos económicos, pues los delincuentes de la red comprometieron los detalles personales y financieros de los compradores que realizaron reservas en ba.com y la aplicación móvil de la aerolínea.

Alex Cruz, presidente y director ejecutivo de British Airways, a través de un comunicado de prensa ha lamentado profundamente la interrupción que ha ocasionado esta actividad delictiva y dejó claro que la empresa se toma “muy en serio” la protección de los datos de sus clientes.

British Airways ya activó una página creada en su web para informar a los afectados y se ha comprometido en proporcionar actualizaciones adicionales cuando corresponda. Lo que sí han puntualizado es que “los datos robados no incluyeron detalles de viaje o pasaporte” de sus usuarios.

El ataque en contra de la empresa ubicada en Waterside (Reino Unido) habría comenzado desde las 22:58 BST del 21 de agosto de 2018 hasta las 21:45 BST del 5 de septiembre de 2018. La situación se ha resuelto y el sitio web funciona con normalidad, pero ya las investigaciones se encuentran en manos de la policía y autoridades pertinentes.

“British Airways se está comunicando con los clientes afectados y asesoramos a los que creen que se han visto afectados por este incidente para que se comuniquen con sus bancos o proveedores de tarjetas de crédito y sigan sus recomendaciones”.

Consecuencias de ciberataque contra British Airways

Serían alrededor de 380 mil tarjetas de crédito las afectadas con este ciberataque, pero hasta ahora se desconoce cuántos de esos usuarios son europeos. No se trata de la primera compañía que sufre este tipo de agresiones este año, pues recientemente las españolas Jobandtalent y Tyepform también denunciaron una embestida en los datos de cientos de miles de clientes.

Las consecuencias no se han hecho esperar y ya se ha registrado la caída del 3% de las acciones del IAG (International Airlines Group) en el Ibex y en la Bolsa de Londres tras conocerse este ataque “sofisticado, criminal y malicioso” y sus grandes dimensiones.

Las autoridades de la empresa han tenido que reaccionar y reconocer que “ningún cliente de British Airways quedará fuera de su bolsillo como resultado de este ciberataque criminal”. Han garantizado que las pérdidas financieras sufridas directamente por el robo de estos datos serán reembolsadas. “Entendemos que este incidente causará preocupación e inconveniencia”.

“Nos comunicamos con todos los clientes afectados para pedirles perdón y los continuaremos actualizando en los próximos días. British Airways no se pondrá en contacto con ningún cliente que solicite detalles de la tarjeta de pago, cualquier solicitud de este tipo deberá comunicarse a la policía y a las autoridades pertinentes”.

A pesar del perdón, este grave incidente ha provocado que se siga cuestionando la externalización IT y la reputación de la compañía, aunque desde BA se insista que esa decisión no tuvo responsabilidad en la pasada crisis de IT.

Hay que recordar que la empresa, en una supuesta intención de reducción de costos y gastos totales, recortó 700 empleos de IT (Tecnología de la Información) en el Reino Unido en 2016 y los reemplazó por la india Tata Consultancy Services, importante empresa de subcontratación.

Alex Cruz negó en ese entonces a The Guardian que la externalización IT fuera responsable de la interrupción de vuelos el 27 de mayo de 2017, cuando los aviones no pudieron despegar y los pasajeros quedaron varados (sobre todo en aeropuertos de Londres) debido a un aumento de potencia en uno de sus centros de datos en el Reino Unido. Los sistemas de respaldo no ingresaron automáticamente.

“Puedo confirmar que todas las partes involucradas en este evento en particular no han estado involucradas en ningún tipo de subcontratación en ningún país extranjero. Todos han sido problemas locales en torno a un centro de datos local que ha sido gestionado y reparado por los recursos locales”.

Desde entonces, pasajeros han denunciado problemas técnicos de menor escala en muchos vuelos, pero BA y el IAG (grupo al que pertenece la compañía) han mantenido su posición de desligarlos de la externalización IT.

Fuente: Twiter

En esta ocasión también han tenido un mar de quejas en sus redes sociales con mensajes como el de Lesley Ironmonger: “Recibí el correo electrónico estándar esta mañana. No indica qué datos personales se han visto comprometidos. ¡Seguramente deberíamos contarlo! ¡Le confiamos nuestros datos personales cuando elegimos volar con usted! Muy preocupada!”.

Investigaciones por ciberataque contra BA

De al acuerdo Reglamento General de Protección de Datos (GDPR), aprobado por el Parlamento de la Unión Europea el 14 de abril de 2016 e implementado el 25 de mayo de 2018, las organizaciones están obligadas a notificar estos problemas en un periodo máximo de 72 horas. Aquellas que no cumplan podrían enfrentar fuertes multas.

Desde el portal de BA no se ha informado sobre esta notificación en particular, pero se aseguró que el ciberataque está en manos de la policía y autoridades pertinentes. Y es que la empresa podría ser sancionada de considerarse negligente, pues la regla vigente contempla una “multa de hasta el 4% de la facturación global anual o € 20 millones (lo que sea mayor)”.

“Esta es la multa máxima que puede imponerse para las infracciones más graves, ya que no se cuenta con el consentimiento suficiente del cliente para procesar los datos ni violar el núcleo de los conceptos de Privacidad por Diseño”, se explica en el texto del GDPR.

Desde Panda Security se aconseja a los afectados cambiar las contraseñas al menos una vez cada tres meses y monitorear el estado de las cuentas bancarias con regularidad. Además les recomiendan instalar un software antivirus en todos sus dispositivos conectados. “Los hackers saben que la gente estará esperando correos electrónicos de BA y comenzará a enviar correos de phishing”.