Multa de 205 millones a British Airways por el robo de datos de los clientes
La Oficina del Comisionado de Información del Reino Unido (ICO, por sus siglas en inglés, la agencia de protección de datos y transparencia) comunicó ayer a British Airways, perteneciente al grupo IAG, su intención de multar a la aerolínea con
En verano de 2018, la página web de British Airways sufrió un hackeo con el robo de datos de clientes que hicieron sus reservas de billetes online, y que incluyó “información financiera” de sus tarjetas de crédito, según admitió la aerolínea. La compañía informó en un principio que el incidente había afectado a 380.000 clientes, aunque luego rebajó esa cifra a 244.000 pasajeros. Sin embargo, la agencia de protección de datos británica eleva ahora a 500.000 el número de potenciales afectados.
En concreto, los robos de datos afectaron a las reservas realizadas en la página web de la aerolínea de IAG, a la que también pertenece Iberia, entre los días 21 de agosto y 5 de septiembre de 2018, pero los clientes afectados fueron aquellos que realizaron sus reservas de billetes, utilizando sus tarjetas de crédito, entre el 21 de abril y el 28 de julio de ese año.
Durante ese periodo, los pagos con tarjeta fueron interceptados y los atacantes pudieron hacerse con nombres, apellidos, direcciones físicas y de correo electrónico, números de tarjetas y sus fechas de expiración y códigos de seguridad, datos suficientes para realizar compras o vaciar cuentas.
En este sentido, la ICO señaló ayer que en su investigación ha encontrado que una variedad de información se vio comprometida por “la falta de seguridad en la empresa”, incluidos el inicio de sesión, la tarjeta de pago y los 183,39 millones de libras (204,6 millones de euros) por la sustracción de datos de clientes desde la página web de la aerolínea. La propuesta de sanción se produce después del ataque informático sufrido en el verano de 2018 que afectó a 500.000 clientes que reservaron con su tarjeta de crédito.
datos de reserva de viaje, así como la información del nombre y la dirección de los usuarios.
“Los datos personales de las personas son solo eso, personales. Cuando una organización no puede protegerla de pérdidas, daños o robos, es más que un inconveniente. Por eso la ley es clara: cuando se le confían datos personales, debe cuidarlos. Aquellos que no lo hagan se enfrentarán
al escrutinio de mi oficina para verificar que hayan tomado las medidas adecuadas para proteger los derechos fundamentales de privacidad”, señaló ayer en una nota la directora de la ICO, Elizabeth Denham. No obstante, el organismo admite que British Airways ha cooperado en la investigación y ha hecho mejoras en sus medidas de seguridad desde que se conoció el incidente.
El presidente y consejero delegado de la aerolínea británica, Alex Cruz, mostró su “sorpresa” y “decepción” por la propuesta de sanción inicial de la ICO. El directivo español destacó que la compañía respondió rápidamente al robo de datos de sus clientes, “sin encontrar evidencia de fraude o actividad fraudulenta en las cuentas relacionadas con la sustracción”.
Por su parte, el consejero delegado de IAG, Willie Walsh, anunció que British Airways efectuará las alegaciones pertinentes ante la ICO, incluyendo un recurso si se confirma la sanción. “Tenemos la intención de adoptar todas las medidas necesarias para defender vigorosamente la posición de la aerolínea, incluyendo cualquier apelación que considere necesaria”, puntualizó Walsh.
La multa propuesta por la autoridad británica equivale al 1,5% de los ingresos globales de British Airways en 2017. Se trata de la primera multa desde que entró en vigor, el pasado mes de mayo, la nueva legislación europea sobre protección de datos.