Unos días después de que la aerolínea haya sufrido el peor ciberataque de su historia, British Airways no ha revelado todavía ningún detalle técnico sobre la infracción -más allá de las disculpas oficiales- a los más de 380.000 usuarios que vieron comprometidos sus datos en operaciones realizadas a través de su página web. Además de la consiguiente notificación oficial las autoridades competentes y a todos los clientes afectados.
Nombres, direcciones de correo electrónico y detalles de las tarjetas de crédito, incluyendo números, fechas de caducidad y códigos de seguridad CVV, han sido robados. Unas señas que han permitido a expertos de ciberseguridad, como el profesor Alan Woodward, hacerse una idea de cómo los hackers pudieron colarse en la web y aplicaciones de BA entre el 21 de agosto y el 5 de septiembre. Un ataque similar al sufrido por Ticketmaster recientemente, después de que un chatbot de servicio al cliente in situ fuera etiquetado como la causa potencial de una violación que afectaba a más de 40.000 usuarios del Reino Unido. De hecho, en las últimas horas han aparecido informaciones que barajan que pueden ser los mismos autores de este ataque que están detrás del hackeo a British Airways.

El dinero vuela…

Hasta hace unos meses, las compañías solían encogerse de hombros ante este tipo de ataques. El daño potencial a la reputación fue la mayor preocupación durante los anteriores ataques cibernéticos. Pero ahora, con el nuevo Reglamento General de Protección de Datos y las multas que implica su incumplimiento, una nueva  amenaza aterriza sobre las arcas de las compañías víctimas de estas brechas de seguridad, afectando a los bolsillos tanto de clientes como a inversores. Y el caso de BA no ha sido una excepción.

¿La consecuencia más inmediata? Las acciones de IAG , matriz de British Airways, caían un en torno a un 3% en el Ibex y en la Bolsa de Londres tras conocerse el ataque y sus dimensiones. Esto se traduce en pérdidas de hasta 456 millones de euros de valor de mercado el viernes, después de decir que unos hackers habían robado detalles de 380.000 pagos de clientes.

Álex Cruz, presidente de British Airways, no ha explicado exactamente cómo fueron robados los datos, aunque negó que los atacantes hubieran superado los sistemas de encriptado de la firma. “Hay otros métodos, muy sofisticados, con los que los criminales consiguen los datos”, dijo en una entrevista en la BBC.

No obstante, el profesor Woodward, sostiene en sus declaraciones que “Puedes poner la cerradura más fuerte que quieras en la puerta principal, pero si los constructores han dejado una escalera hasta la ventana, ¿a dónde crees que irán los ladrones?”. La polémica está servida.

Cómo evitar las multas

Aunque no se puede afirmar al 100% que el ataque vía script haya sido el que ha comprometido los servicios de seguridad de British Airways, sí que parece el que más probabilidades tiene. Sin embargo, otras teorías hablan de que incluso algún experto de la firma haya podido manipular la página con fines malignos. Lo cierto es que la aerolínea está viviendo tiempos malos tiempos en cuanto sus sistemas de TI.

El incidente ha sido un escarmiento, pero también pondrá de relieve la necesidad de invertir en ciberseguridad para demostrar que se está haciendo lo suficiente para salvaguardar los datos confidenciales. Porque la única manera de evitar pagar sanciones económicas es que no se produzcan dichas brechas de seguridad.

Y es que recientemente se ha demostrado que la dificultad que tienen grandes empresas de localizar los datos no estructurados en sus sistemas puede ser una cuestión de volumen. De hecho, el 65% de las empresas recopilan tantos datos que no son capaces ni de categorizarlos ni analizarlos. Y si tenemos en cuenta la naturaleza de British Airways, la mayor compañía aérea de Europa, nos basta para hacernos una idea de la ingente cantidad de datos personales que se manejan en sus sistemas.

Hoy en día, existen soluciones de ciberseguridad avanzada específicas para dar soporte a todo equipo de IT con el fin de evitar situaciones como la vivida en la aerolínea británica, como es el caso de Panda Data Control.

¿Qué pasará además con aquellos clientes que decidan solicitar la eliminación definitiva de sus datos en una de estas plataformas? En este caso las compañías deben contar un con inventariado muy detallado de donde se encuentran todos sus datos, una traza perfecta de esa información, y una acreditación casi notarial para justificar la eliminación completa de los datos en todos los sistemas. Todo esto lo ofrece también Panda Data Control para asegurar que los usuarios ejerzan su derecho a borrado de sus datos con total transparencia y poder certificarlo oficialmente.

Con esta solución de protección de datos integrada en Panda Adaptive Defense, te permite descubrir, auditar y monitorizar los datos de carácter personal y sensible desestructurados en los endpoints de tu empresa: desde el dato en reposo, hasta las operaciones sobre ellos y su tránsito.

Identifica los ficheros con datos de carácter personal (PII) y registra cualquier tipo de acceso a ellos, siendo alertado casi en tiempo real sobre fuga, uso o tráfico sospechosos o no autorizados.

Visibilidad total sobre los archivos, sobre los usuarios y sobre los equipos y servidores que acceden a esa información, para supervisar cualquier acción sobre la información personal que almacenas.

Porque lo más importante para mitigar los riesgos relacionados con los datos es tener mucho cuidado con la manera de tratar la información personal, es imprescindible saber dónde están los datos y saber quién tiene acceso a ellos.

 

Fuente: pandasecurity