Mientras se preparan para cumplir con las regulaciones que buscan proteger los datos personales y la forma en la que las organizaciones los procesan, almacenan y, finalmente, destruyen cuando ya no son requeridos, las empresas de todo el mundo también esperan ansiosas conocer quiénes serán las primeras en incumplir las normas del GDPR. Tal como expresa el tecnólogo Greg Mooney en un artículo publicado en el blog de Ipswitch, el caso de British Airways da lugar a preguntarnos si puede convertirse en la pionera.
Nombres, direcciones de correo electrónico y detalles de las tarjetas de crédito, incluyendo números, fechas de caducidad y códigos de seguridad CVV de clientes que tuvieron transacciones con la aerolínea entre agosto y septiembre de 2018, han sido robados.
No es de extrañar que la primera compañía importante en violar el GDPR provenga de la industria aérea ya que desde hace años ha sido un claro exponente de mala seguridad cibernética. Se trata de un sector que funciona con pequeños márgenes de ganancia, por lo que la seguridad de los datos nunca había sido prioridad para sus ejecutivos. El caso de la aerolínea británica las coloca en una posición de vulnerabilidad y las obliga a tomar más en serio el tema de la seguridad de la información.
¿Apuntará la Unión Europea contra British Airways por el incumplimiento de GDPR?
Hacer cumplir las sanciones de las violaciones de datos es exactamente la razón por la que se promulgó el GDPR. Todas las compañías que operan dentro de los límites de la UE serán investigadas por sus acciones (o la falta de ellas) en lo referido al compromiso con los datos personales. Violar el nuevo reglamento puede costar a una empresa más del 4% de la facturación anual, generando en algunos casos la quiebra financiera de la organización. En el caso de una empresa tan grande como British Airways, el principal impacto no pasa por lo financiero, sino por su reputación.
Si bien la aerolínea informó el incumplimiento lo más rápido posible y publicaron anuncios en los medios para disminuir la visibilidad del problema, esto podría desencadenar un accionar por parte de funcionarios del GDPR. Sobre todo, porque existe evidencia de que British Airways sabía que sus aplicaciones web no eran completamente seguras desde hace un año, lo que sí debería desencadenar una intensa investigación y demostrar así la efectividad del GDPR.
De acuerdo con las propias declaraciones de la empresa en diferentes medios, uno de los motivos del ataque podría haber sido el hecho de que alguien colocase un script en su página web. Este método podría haber ido recopilando datos de los clientes a medida en que estos fueron introduciendo sus datos entre agosto y septiembre. Esta intromisión, conocida comúnmente como ataque a la cadena de suministro, es una tendencia y un problema cada vez más recurrente en los sitios web que incorporan código de proveedores externos ya que estos pueden proporcionar código para ejecutar la autorización del pago, colocar anuncios o permitir a los usuarios iniciar sesión. De hecho, el de British Airways no es el único caso en los últimos tiempos, Delta Airlines sufrió una brecha similar en abril y TicketMaster lo hizo en Reino Unido.
¿Las empresas deben evitar usar scripts en sus páginas web?
Según Mooney, depende de la aplicación. Pero dado que se están produciendo cada vez más ataques en la cadena de suministro cuando se trata de estas herramientas y scripts, tiene sentido tomar más recaudos. Las herramientas gratuitas y de código abierto son excelentes y ayudan a mantenerse por debajo del presupuesto, pero tal vez, si se está desarrollando un sitio que está procesando datos personales, sería inteligente trabajar con un proveedor que actualice regularmente su código y complementos.
Al respecto, Alessandro Porro, Vicepresidente de Ventas de Ipswitch en Latinoamérica, asegura: “Este caso ratifica la necesidad de asegurarnos que todos los aspectos de seguridad y privacidad de información sean considerados en una organización de TI. La solución MOVEit de Ipswitch permite garantizar el cumplimiento de las normas en la transferencia de PII e información financiera. También, evitar los riesgos de la pérdida de información y resultados de no cumplimiento en las transferencias externas de archivos”. Las normas cada vez más estrictas sobre protección de datos disponen que las redes, el acceso de los usuarios, las bases de datos y los procesos comerciales deben ser seguros para proteger la información financiera y la información personalmente identificable de los clientes.