La seguridad de los datos personales que los usuarios comparten con la organizaciones es un tema de máxima importancia, una gestión deficiente en el ámbito de la seguridad de estas puede producir la pérdida o robo de información muy sensible, este hecho puede desembocar en una pérdida de prestigio y en multas económicas muy altas. Justamente eso es lo que le ha pasado a British Airways y Marriott, la compañía aérea británica se expone a una multa de 183 milions de libras, por otra parte la cadena hotelera podría recibir una multa de 99 millones de libras, en ambos casos debido al robatorio de datos personales de sus clientes.

En el caso de British Airways el ataque afectó a los clientes que habían hecho reservas en la web y en la app de la compañía británica entre el 21 de agosto y el 5 de septiembre, se vieron implicados los datos de registro, tarjetas de crédito, información de viajes reservados, nombres y direcciones personales. Las víctimas del robo fueron unas 500.000, el ataque consistió en la introducción de código malicioso en la web y app de British Airways, esta modificación hacía que, en el momento de hacer un pago, se desviaran los usuarios a una web fraudulenta.

Este ciberataque se ha atribuido posteriormente al grupo de hackers Magecart, especializado en robar detalles relacionados con tarjetas de crédito en webs pocos seguras. Magecart también ha actuado en TicketMaster y otros comercios online de menos envergadura.

L’ICO (Information Commissioner’s Office) es la institución británica competente en el ámbito de la protección de datos que ha anunciado la decisión de multar British Airways. Según el ICO esta fuga de seguridad se produjo porque British Airways tenía unas medidas de seguridad poco efectivas.

La comisaria del ICO, Elisabeth Denham, ha argumentado que “Los datos personales son justamente eso, personales. Cuando una organización fracasa en la protección de datos y sufre una pérdida, un daño o un robo de éstas, lo que se ha producido es mucho más que un error o una molestia.”

Sin embargo, desde el ICO, se ha querido subrayar que British Airways ha cooperado en todo momento con esta investigación y que, desde el momento en que se produjo el robo de datos, ha mejorado las medidas de seguridad.

La multa de 183 milions de libras equivale a un 1,5 % de la facturación de la compañía el año 2017 pero la sanción, según la normativa, podría haber subido legalmente hasta el 4% de la facturación, el máximo de penalización estipulado en estos casos. Pese a no ser el importe máximo, esta cifra afectará, sin duda, el balance financiero de la compañía británica del próximo año.

Por otra parte, en el caso de Marriott, el novembre de 2018 esta organización descubrió que un grupo desconocido de hackers habían accedido a la base de datos de las reservas de Starwoods, cadena de hoteles de la que es propietaria. La base de datos afectada contiene los nombres del huéspedes, direcciones de correo electrónico, números de teléfono, fechas de nacimiento, género, momento de entrada y salida del hotel y preferencias de comunicación, unos 339 millones de personas habrían sido víctima de estos ataques.

La multes a British Airways i Marriott estableixen un nou màxim en el rànquing de multes relacionades amb la protecció de dades, l’anterior rècord va ser per Facebook amb una sanció de 500.000 lliures. La multa imposada a British Airways és la primera que s’ha fet pública des de que funciona el nou Registre General de Protecció de Dades, la nova normativa obliga a les companyies a notificar les fugues de seguretat a l’autoritat de protecció de dades competent a cada país de la Unió Europea. Les dues companyies presentaran recursos contra aquestes multes.

La actitud del ICO en caso de fugas de datos la resume esta declaración de su comisaria, Elisabeth Denham: “Los datos personales tienen un valor muy importante, por lo tanto las organizaciones tienen el deber legal de garantizar su seguridad, tal como harían con cualquier otro activo, si no se garantiza esta seguridad nosotros no dudaremos en tomar medidas contundentes con el fin de proteger los derechos de los ciudadanos.”

El mensaje es claro, si no se tratan con mucho cuidado los datos de los clientes, en caso de que las cosas vayan mal, el castigo será importante. Si crees que los datos personales de tus clientes no están suficientemente protegidos en Escuda te podemos ayudar, una auditoría de seguridad que haga un diagnóstico y proponga las mejoras necesarias es la mejor prevención. Puedes contactarnos llenando este formulario o llamando al 931 931 848.