Este pasado viernes, British Airways la aerolínea de bandera del Reino Unido, reveló haber sufrido una brecha masiva de seguridad que ha afectado a 380,000 transacciones electrónicas realizadas entre el 21 de agosto y el 5 de septiembre de este año. La compañía ha reconocido que los nombres, domicilios, correos electrónicos y datos de pago asociados a estas transacciones se han visto comprometidos. Este tipo de anuncios públicos solían tardar años en producirse pero esta vez, bajo la exigencia del Reglamento General de Protección de Datos, han pasado solo días.
Yahoo, por poner un ejemplo, tardó dos años en anunciar la brecha de seguridad que afecto a mil millones de sus cuentas y luego admitió posteriormente que en 2013 había sufrido una brecha todavía mayor.
El RGPD lo ha cambiado todo porque ahora estas grandes firmas se enfrentan a multas millonarias si no informan de estas brechas serias de seguridad en un plazo de 72 horas. British Airways cumplió con este requerimiento clave la pasada semana.
La transparencia, uno de los fundamentos sobre los que sustenta el RGPD, se ve así demostrada en un caso práctico. Este caso hace ver que las leyes pueden tener un impacto positivo evidente y rápido en el proceder de las empresas y organizaciones.
Además, la transparencia tiene también un impacto positivo sobre la imagen de las empresas. Es muy probable que British Airways haya evitado males mayores informando con celeridad sobre el problema en lugar de barrerlo bajo la alfombra.
El hacking que ha sufrido British Airway es especialmente grave ya que los códigos CVV que se encuentran en el dorso de las tarjetas de crédito y que, hasta ahora, se consideraban un arma efectiva en la lucha contra el fraude ya que los comercios electrónicos no podían almacenarlo en sus sistemas.
British Airways jura no haber almacenado esos datos pero, evidentemente, los hackers tienen que haberlos obtenido de alguna manera. Según la firma de seguridad RiskIQ, los hackers usaron un código altamente sofisticado que les permitió interceptar los datos aunque estos no fueran almacenados por la aerolínea.
Los clientes afectados han sido informados, como también marca el RGPD, a través de un email del consejero delegado de British Airways, el español Alex Cruz.
Algunos de los bancos que emitieron tarjetas de créditos afectadas por la brecha de seguridad están cancelando las antiguas y emitiendo nuevas a los clientes víctima del hacking.