La Oficina del Comisionado de Información de Reino Unido (ICO, por sus siglas en inglés, la agencia de protección de datos y transparencia) ha comunicado a British Airways, perteneciente al grupo IAG, su intención de multar a la aerolínea con 204,6 millones de euros.
Se les acusa de sustraer datos de clientes desde la página web de la aerolínea.
La multa propuesta por la autoridad británica equivale al 1,5% de los ingresos globales de British Airways en 2017.
Además, se trata de la primera multa desde que entró en vigor, el pasado mes de mayo, la nueva legislación europea sobre protección de datos.La compañía recurrirá esta decisión, según ha anticipado el consejero delegado de IAG, Willie Walsh.
El presidente y CEO de British Airways ha mostrado su «sorpresa» por esta decisión de las autoridades británicas al tiempo que se muestra «decepcionado» por la propuesta de sanción del ICO.
«Respondimos rápidamente al acto criminal de sustracción de datos de los clientes», ha recordado Cruz, quien ha reiterado las «disculpas a nuestros clientes por cualquier inconveniente que esta situación les haya podido causar».
Los hechos ocurrieron entre el 6 de septiembre y el 25 de octubre de 2018, cuando la aerolínea de bandera británica reconoció la sustracción de datos de sus clientes.
Desde un primer momento, la empresa aclaró que no había encontrado «evidencia de fraude o actividad fraudulenta en las cuentas relacionadas» con ese robo.
244.000 afectados
La compañía cifró en 244.000 los afectados por el robo de datos a sus clientes, desde los 380.000 identificados inicialmente.
El suceso afectó a las reservas realizadas en la página de Internet de la aerolínea entre el 21 de agosto y el 5 de septiembre, pero los potenciales clientes afectados fueron aquellos que realizaron sus reservas de billetes entre el 21 de abril y el 28 de julio de 2018 utilizando tarjetas de pago.
La investigación realizada por la aerolínea británica mostró que los ‘hackers‘ podrían haber sustraído información personal adicional a los titulares de 77.000 tarjetas de pago, que previamente no habían sido notificados, de que sus nombres, direcciones postales, correos electrónicos e información de pago han sido potencialmente comprometidos y otros 108.000 titulares adicionales sin incluir el código CVV.
Tras la denuncia, BA trabajó con investigadores forenses especialistas en seguridad cibernética y con la Agencia Nacional del Crimen (National Crime Agency) para investigar en profundidad la sustracción de datos.
Fallo masivo
En 2017, la aerolínea sufrió también un fallo masivo de su sistema informático causado en esta ocasión por un problema de suministro de energía cerca del aeropuerto londinense de Heathrow, que dejó a 75.000 clientes en el aeropuerto más activo de Europa en tierra durante un fin de semana festivo.
En concreto, los robos de datos afectaron a las reservas realizadas en la página web de la aerolínea entre los días 21 de agosto al 5 de septiembre de 2018, pero los clientes afectados son aquellos que realizaron sus reservas de billetes, utilizando sus tarjetas de crédito, entre el 21 de abril y el 28 de julio de ese año.
Durante ese periodo, los pagos con tarjeta fueron interceptados y los atacantes pudieron hacerse con nombres, apellidos, direcciones físicas y de correo electrónico, números de tarjetas y sus fechas de expiración y códigos de seguridad, datos suficientes para realizar compras o vaciar cuentas.
