El 16 de octubre de 2020, la Agencia Británica de Protección de Datos (“Information Commissioner’s Office” o “ICO”) impuso a British Airways (“BA”) una multa de 20 millones de libras (22 millones de euros aproximadamente) por no utilizar medidas técnicas y organizativas apropiadas para prevenir una brecha de seguridad de datos personales.

La presente multa finaliza el proceso iniciado el 8 de julio de 2019 en el que la ICO declaró su intención de imponer una multa de entonces 183,39 millones de libras a BA.

Dado que la brecha de seguridad sufrida por BA ha afectado a numerosas personas fuera del Reino Unido, la ICO ha actuado en este proceso como la autoridad de control principal, conforme al artículo 56 del RGPD.

Hechos:

El 22 de junio de 2018, un atacante obtuvo acceso a los sistemas de BA utilizando las credenciales de acceso remoto de un empleado perteneciente a un proveedor externo de BA. Esto se conoce como un «ataque a la cadena de suministro».

Durante el acceso al sistema de BA, el atacante descubrió un archivo que contenía el nombre de usuario y la contraseña de una cuenta de administrador privilegiado. Dichas credenciales estaban guardadas en un documento de texto sin encriptar y dieron al atacante acceso casi ilimitado al servidor.

El atacante tuvo acceso a los sistemas de BA desde el 22 de junio hasta el 5 de septiembre de 2018 sin ser detectado.

BA tuvo conocimiento del incidente el 5 de septiembre de 2018, cuando un tercero informó a BA que había detectado que se estaban enviando datos de “britishaiways.com” a “BAways.com”, un sitio web similar al oficial, pero que no pertenecía a BA. Tras la alerta, BA controló el código malicioso y contuvo la vulnerabilidad en 90 minutos.

La investigación interna realizada por BA concluyó que el atacante accedió a los datos personales de aproximadamente 429.612 personas. Entre los datos sustraídos se encontraban el nombre completo, dirección postal, número de tarjeta de crédito y CVV de 244.000 personas.

Infracción:

En su resolución, la ICO concluye que BA infringió los artículos 5.1.f) y 32 del RGPD, al no utilizar medidas técnicas y organizativas apropiadas para garantizar la seguridad adecuada de los datos, incluida la protección contra el tratamiento no autorizado.

Agravantes:

• La naturaleza, gravedad y duración de la infracción (art. 83.2.a): La ICO considera que la naturaleza de los fallos es grave, dado que BA ha estado procesando una cantidad significativa de datos personales de manera insegura.

  Se hace especial énfasis sobre el hecho de que se desconoce si BA hubiera podido detectar la brecha de seguridad en algún momento, si no hubiera sido alertada de esta por un tercero. De no haberse producido dicha alerta, el número de afectados habría sido aún más significativo.

  Según la ICO, la duración de la infracción data de entre el 25 de mayo de 2018 y el 5 de septiembre de 2018.

• La intencionalidad o negligencia en la infracción (art. 83.2.b): Si bien la ICO considera que no hubo intencionalidad por parte de BA, la ICO concluye que BA fue negligente al no asegurarse de que había tomado todas las medidas apropiadas para proteger los datos personales de sus clientes.

• El grado de responsabilidad del responsable o del encargado del tratamiento (art. 83.2.d): Según la ICO, el atacante pudo explotar las deficiencias en la seguridad de BA y, así acceder a datos personales que no deberían haber sido accesibles mediante el sistema de acceso remoto de proveedores. Las graves deficiencias que la ICO identificó se relacionan con la forma en que BA operaba su red.

  La ICO por lo tanto considera a BA completamente responsable por las infracciones de los artículos 5.1.f) y 32 del RGPD.

• Categorías de datos personales afectados (art. 83.2.g): La ICO concluye que la pérdida por parte de BA de datos personales como nombres, direcciones postales y datos de tarjetas de pago sin encriptar es particularmente grave, ya que posibilita el robo de identidad.

Si bien no se vieron afectados «categorías especiales de datos personales» según define el RGPD en su artículo 9, esto no significa que los datos sustraídos no fueran de naturaleza sensible.

La ICO se basa en la Guía de ENISA titulada “Una metodología de evaluación de la gravedad de las brechas de datos personales” que proporciona un método de puntuación para evaluar la gravedad de una brecha de datos personales.

En dicha guía, los datos financieros reciben una puntuación de 3 (de un máximo de 4), pero la presencia de un factor agravante puede elevar los datos financieros a una puntuación de 4. De los factores agravantes identificados en la Guía de ENISA y que estaban presentes en este caso, estarían la divulgación de información financiera completa y la divulgación de un gran volumen de datos.

Multa:

En la estructura de su resolución, la ICO considera inicialmente solo los agravantes antes mencionados, y considera apropiado ajustar la multa a 30 millones de libras (“Cálculo inicial de la multa”).

Posteriormente, la ICO describe los atenuantes y la reducción que estos suponen sobre el Cálculo inicial de la multa.

Atenuantes:

Una vez BA tuvo conocimiento de la brecha de seguridad, BA informó con prontitud de esta a todos los afectados, a numerosas agencias reguladoras de distintos paises, y a la ICO. BA también cooperó plenamente en todas las investigaciones.

La ICO tuvo en consideración que BA fue extremadamente transparente con el incidente, emitiendo un comunicado de prensa sobre el ataque a 5.000 periodistas y comentaristas, y dando explicaciones activamente en la televisión, las redes sociales y la prensa.

Asimismo, BA tomó medidas inmediatas para minimizar cualquier daño sufrido por los afectados, coordinándose con los bancos, los afectados y la ICO. En este sentido, BA ofreció reembolsar a todos los afectados que hubieran sufrido pérdidas económicas como resultado directo del robo de los datos de su tarjeta. La oferta se realizó el 7 de septiembre de 2018 y se mantiene en el sitio web de BA.

BA también implementó medidas correctivas para reducir el riesgo de un ataque similar en el futuro.

La ICO reconoce que todos los puntos antes mencionados “habrían contribuido de alguna manera a tranquilizar a los clientes de BA y, por lo tanto, podrían haber reducido o mitigado cualquier posible malestar que, de otro modo, podría haber sido causado por la infracción”.

Teniendo en cuenta los atenuantes antes mencionados, la ICO consideró apropiado reducir el Cálculo inicial de la multa de 30 millones de libras en un 20%: a 24 millones de libras.

Política de Covid-19 de la ICO:

La ICO tuvo también en cuenta el impacto de la pandemia de Covid-19 en el cálculo de su multa, y consideró razonable aplicar una reducción adicional de 4 millones de libras sobre la multa.

La multa final a pagar por BA será por tanto de 20 millones de libras.

Conclusión:

La presente resolución pone fin a lo que el año pasado parecía que iba ser la mayor multa en la historia del RGPD. La reducción de la cuantía de 183,39 millones de libras que en su momento contempló la ICO a 20 millones de libras es significativa.

La Comisionada de la ICO, Elizabeth Denham resume el caso de la siguiente manera: «Las personas confiaron sus datos personales a BA y BA no tomó las medidas adecuadas para mantener estos datos seguros. Su falta de acción fue inaceptable y afectó a cientos de miles de personas, pudiendo haberles causado ansiedad y angustia. Es por ello por lo que hemos impuesto a BA una multa de 20 millones de libras, la mayor hasta la fecha «.

Resulta destacable el hecho de que la ICO tiene una política de Covid-19 estandarizada que aplica a la hora de determinar la cuantía de la multa.

Por último, nos gustaría mencionar aquí algunos de los consejos que da la ICO a raíz del presente caso para reducir el riesgo de brechas de seguridad:

• Limitar el acceso a aplicaciones, datos y herramientas a lo mínimo requerido para cumplir con la función del usuario.

• Realizar simulacros de ciberataques en los sistemas de la empresa.

• Proteger las cuentas de los empleados y de terceros con procesos de autenticación de múltiples factores.

Si deseas estar informado de las sanciones más relevantes por infracción del RGPD, tanto en España como en el resto de Europa, por favor no dudes en suscribirte a nuestro blog.

______

Gonzalo Sanchez-Jara Garralda, autor de este post, es socio fundador de Anti-Bribery and Corruption Compliance S.L. (“abc Compliance”), empresa que facilita una plataforma digital que permite a las empresas gestionar, analizar y acreditar sus procesos de formación. Para más información sobre abc Compliance, pulse aquí.