Globedia.com

×
×

Error de autenticación

Ha habido un problema a la hora de conectarse a la red social. Por favor intentalo de nuevo

Si el problema persiste, nos lo puedes decir AQUÍ

×
cross

Suscribete para recibir las noticias más relevantes

×
Recibir alertas

¿Quieres recibir una notificación por email cada vez que Vox escriba una noticia?

El caso British Airways: ¿Violó el GDPR?

24/10/2018 06:20 0 Comentarios Lectura: ( palabras)

Semanas atrás la aerolínea fue víctima del peor ciberataque de su historia. Como consecuencia, más de 380.000 usuarios vieron comprometidos sus datos en operaciones realizadas a través de su página web. ¿Estamos frente al primer caso de violación del nuevo Reglamento General de Protección de Datos?

Mientras se preparan para cumplir con las regulaciones que buscan proteger los datos personales y la forma en la que las organizaciones los procesan, almacenan y, finalmente, destruyen cuando ya no son requeridos, las empresas de todo el mundo también esperan ansiosas conocer quiénes serán las primeras en incumplir las normas del GDPR. Tal como expresa el tecnólogo Greg Mooney en un artículo publicado en el blog de Ipswitch, el caso de British Airways da lugar a preguntarnos si puede convertirse en la pionera.

Nombres, direcciones de correo electrónico y detalles de las tarjetas de crédito, incluyendo números, fechas de caducidad y códigos de seguridad CVV de clientes que tuvieron transacciones con la aerolínea entre agosto y septiembre de 2018, han sido robados.

No es de extrañar que la primera compañía importante en violar el GDPR provenga de la industria aérea ya que desde hace años ha sido un claro exponente de mala seguridad cibernética. Se trata de un sector que funciona con pequeños márgenes de ganancia, por lo que la seguridad de los datos nunca había sido prioridad para sus ejecutivos. El caso de la aerolínea británica las coloca en una posición de vulnerabilidad y las obliga a tomar más en serio el tema de la seguridad de la información.

¿Apuntará la Unión Europea contra British Airways por el incumplimiento de GDPR?

Hacer cumplir las sanciones de las violaciones de datos es exactamente la razón por la que se promulgó el GDPR. Todas las compañías que operan dentro de los límites de la UE serán investigadas por sus acciones (o la falta de ellas) en lo referido al compromiso con los datos personales. Violar el nuevo reglamento puede costar a una empresa más del 4% de la facturación anual, generando en algunos casos la quiebra financiera de la organización. En el caso de una empresa tan grande como British Airways, el principal impacto no pasa por lo financiero, sino por su reputación.

Si bien la aerolínea informó el incumplimiento lo más rápido posible y publicaron anuncios en los medios para disminuir la visibilidad del problema, esto podría desencadenar un accionar por parte de funcionarios del GDPR. Sobre todo, porque existe evidencia de que British Airways sabía que sus aplicaciones web no eran completamente seguras desde hace un año, lo que sí debería desencadenar una intensa investigación y demostrar así la efectividad del GDPR.

De acuerdo con las propias declaraciones de la empresa en diferentes medios, uno de los motivos del ataque podría haber sido el hecho de que alguien colocase un script en su página web. Este método podría haber ido recopilando datos de los clientes a medida en que estos fueron introduciendo sus datos entre agosto y septiembre. Esta intromisión, conocida comúnmente como ataque a la cadena de suministro, es una tendencia y un problema cada vez más recurrente en los sitios web que incorporan código de proveedores externos ya que estos pueden proporcionar código para ejecutar la autorización del pago, colocar anuncios o permitir a los usuarios iniciar sesión. De hecho, el de British Airways no es el único caso en los últimos tiempos, Delta Airlines sufrió una brecha similar en abril y TicketMaster lo hizo en Reino Unido.

¿Las empresas deben evitar usar scripts en sus páginas web?

Según Mooney, depende de la aplicación. Pero dado que se están produciendo cada vez más ataques en la cadena de suministro cuando se trata de estas herramientas y scripts, tiene sentido tomar más recaudos. Las herramientas gratuitas y de código abierto son excelentes y ayudan a mantenerse por debajo del presupuesto, pero tal vez, si se está desarrollando un sitio que está procesando datos personales, sería inteligente trabajar con un proveedor que actualice regularmente su código y complementos.

Al respecto, Alessandro Porro, Vicepresidente de Ventas de Ipswitch en Latinoamérica, asegura: “Este caso ratifica la necesidad de asegurarnos que todos los aspectos de seguridad y privacidad de información sean considerados en una organización de TI. La solución MOVEit de Ipswitch permite garantizar el cumplimiento de las normas en la transferencia de PII e información financiera. También, evitar los riesgos de la pérdida de información y resultados de no cumplimiento en las transferencias externas de archivos”. Las normas cada vez más estrictas sobre protección de datos disponen que las redes, el acceso de los usuarios, las bases de datos y los procesos comerciales deben ser seguros para proteger la información financiera y la información personalmente identificable de los clientes.

Acerca de Ipswitch

Ipswitch produce y vende software de trasferencia de archivos y gestión de redes para profesionales de TI. En actividad comercial desde 1991, Ipswitch cuenta con más de 28.000 clientes de SMB y corporativos, y más de 1 millón de usuarios finales en 192 países. La serie de soluciones de redes y seguridad de Ipswitch comprende WhatsUp® Gold para el monitoreo de redes, y MOVEit® y WS_FTP® para la transferencia segura de archivos. Una comunidad en línea de más de 115.000 miembros evidencia el enfoque de Ipswitch en el éxito de los clientes. Para satisfacer las distintas necesidades de sus clientes, las soluciones de Ipswitch son compatibles con una variada gama de entornos, como in situ, de nube híbrida y pública o privada, mediante licencias perpetuas y de suscripción. Las soluciones de Ipswitch cumplen con los requisitos de seguridad de datos comerciales y gubernamentales más exigentes, así como con las normas PCI, HIPAA y GDPR.

La empresa cuenta con oficinas en Estados Unidos, Europa, Asia y América Latina. Para más información, visite https://www.ipswitch.com/ o comuníquese a través de LinkedIn y Twitter. Para informarse acerca de las alianzas estratégicas de Ipswitch o su red de socios internacionales, visite https://www.ipswitch.com/


Sobre esta noticia

Autor:
Vox (109 noticias)
Visitas:
969
Tipo:
Nota de prensa
Licencia:
Distribución gratuita
¿Problemas con esta noticia?
×
Denunciar esta noticia por

Denunciar

Comentarios

Aún no hay comentarios en esta noticia.