Las aerolíneas recopilan una cantidad extraordinaria de datos personales. Desde nombres y apellidos, hasta números de pasaporte y de tarjetas de crédito; los datos necesarios para comprar un billete de avión son todos altamente sensibles y su robo podría causar serios problemas para la víctima. Por este motivo, cuando una aerolínea sufre una brecha de datos, es una noticia importante, sobre todo cuando se trata de una de las aerolíneas más importantes de Europa.
EasyJet: una brecha de datos masiva
El 19 de mayo de este año, EasyJet anunció que había sufrió un “ciberataque altamente sofisticado” en el que los atacantes accedieron a los datos personales de aproximadamente nueve millones de sus clientes. Entre los datos a los que han tenido acceso los cibercriminales son las direcciones de email y los detalles de viajes de las víctimas. Es más, los atacantes también consiguieron “acceder” a los datos de las tarjetas de crédito de 2.208 clientes. La empresa se enteró del incidente por primera vez en enero de este año.
Cuando descubrió la brecha, EasyJet se puso en contacto con la Oficina del Comisionado de Información (ICO) de Reino Unido para informar del incidente, además del National Cyber Security Centre, el CERT británico. En cuanto EasyJet descubrió el incidente, cerró el acceso indebido a los atacantes. De momento, la empresa no ha revelado ningún detalle técnico del incidente y desconoce cómo han conseguido entrar en los sistemas.
La reacción de EasyJet
En una nota de prensa, EasyJet ha explicado: “Nos tomamos muy en serio la ciberseguridad y seguimos mejorando nuestro entorno. No hay pruebas de que se haya abusado de ningún tipo de datos personales. Sin embargo, siguiendo las recomendaciones de la ICO, nos ponemos en contacto con los aproximadamente nueve millones de clientes cuyos datos se han visto afectados para informarles de los pasos que estamos tomando para minimizar el riesgo de phishing.”
John Lundgren, el CEO de la empresa, ha dicho que “tenemos sistemas de seguridad muy robustos para proteger la información personal de nuestros clientes. Sin embargo, esta es una amenaza que evoluciona, ya que los ciberatacantes se vuelven cada vez más sofisticados.” También ha explicado que es consciente de la mayor preocupación por el uso de los datos personales en las estafas online durante la pandemia del COVID-19. Ha pedido que los clientes de EasyJet vigilen los correos que llegan a sus buzones, sobre todo si reciben comunicaciones sospechosas que pretenden ser de la empresa.
La potencial multa llega en muy mal momento para la empresa; la actual pandemia de COVID-19 ha obligado a EasyJet a cancelar todos sus vuelos indefinidamente.
Las aerolíneas y las brechas de datos
EasyJet no es la primera aerolínea en sufrir una brecha de datos. El caso más famoso fue British Airways; la empresa sufrió una brecha de datos en 2018 en la que los datos personales de unos 500.000 clientes fueron robados en un ataque de cadena de suministro. Como resultado de este incidente, la ICO propuso una multa de 183 millones de libras (204.110.000€) bajo el GDPR, la más alta hasta la fecha.
Qué se puede hacer para proteger contra estas brechas de datos
Como ilustra el caso de British Airways, las consecuencias económicas de incumplir el GDPR pueden llegar a ser muy graves. Sin embargo, las multas no son la única consecuencia de estos incidentes. El acceso indebido a los datos personales de los clientes tiene repercusiones serias en la reputación de cualquier organización. Es más, esta pérdida de reputación también tiene un efecto sobre los resultados de la empresa.
Para asegurarte de que tu empresa no sea la siguiente en sufrir una brecha de datos, aunque no sea de dimensiones tan importantes como la de EasyJet, es esencial saber dónde están los datos personales que maneja tu empresa, quién tiene acceso a ellos, y qué se hace con ellos. Por eso, Panda Adaptive Defense cuenta con un módulo adicional, Panda Data Control.
Este módulo descubre y audita todos los datos personales desestructurados en los endpoints de tu empresa. Además, genera informes y alertas en tiempo real del uso no autorizado de los datos, para evitar filtraciones, que te ayudará a implementar medidas proactivas de acceso y operación.
Desafortunadamente, las brechas de datos son una realidad muy común en el mundo empresarial. Con Panda Data Control, puedes estar seguro de no ser la próxima víctima de una brecha de este tipo.
Panda Security es una empresa especializada en la creación de productos de seguridad para endpoints que son parte del portfolio de soluciones de seguridad IT de WatchGuard. Centrada inicialmente en la creación de software antivirus, la compañía ha ampliado sus objetivos expandiendo su línea de negocio hacia los servicios de ciberseguridad avanzada con tecnologías para la prevención del cibercrimen.
