British Airways, la principal compañía aérea inglesa, fue víctima de un ciber ataque sin precedentes en el que fueron robados los datos de tarjetas de crédito de 380 mil usuarios de la aerolínea. Si bien la empresa no brindó datos técnicos oficiales del ataque, lo que sí se afirmó es que la persistencia del mismo fue de dos semanas. Se estima que fueron robados datos de las tarjetas de crédito de todos los usuarios que reservaron vuelos entre el 21 de Agosto y el 7 de Septiembre de este año.
Una vez que los responsables de BA detectaron el ciber ataque, el 7 de Septiembre enviaron un email a los usuarios avisando del incidente y hasta solicitando que por su seguridad den de baja sus tarjetas de crédito y las renueven. Una de las consecuencias fue la caída del valor de las acciones de British Airways.
Según los responsables de la empresa, los datos comprometidos no incluyen información de los pasaportes de los usuarios, como sí lo fueron en el ataque sufrido por la aplicación móvil de Air Canada casi en el mismo momento (entre el 22 y el 24 de Agosto) en el que se comprometieron datos de 20 mil usuarios de la aerolínea.
Desde el punto de vista técnico, la empresa RiskIQ declara que pudo analizar y reconstruir el ataque perpetrado contra los usuarios de BA. Los investigadores de la empresa sostienen que quien está detrás del incidente es el grupo ciber criminal Magecart que logró modificar un componente del sitio web de BA, el javascript modernizr. Este script tiene el inocente propósito original de verificar las capacidades del navegador que está usando el usuario para determinar qué funciones utiliza para armar la página y mejorar su experiencia.
El script modernizr modificado simplemente toma la información que ingresa el usuario y la envía al sitio baways.com que, como podrán imaginarse, no pertenece a British Airways y que posee además un certificado digital válido provisto por Comodo de forma de no alertar al usuario mostrando que el certificado digital es sospechoso.
Desde el punto de vista formal, una buena para GDPR. Debido a esta nueva norma de la que hablamos ya algunas veces, las empresas que son víctimas de ciber ataques de este tipo, están obligadas a publicar esta información dentro de las 72 hs de su descubrimiento. Esto hizo BA y varios analistas se preguntan qué hubiese pasado si la GDPR no hubiese estado en vigencia.
Es evidente que el ataque fue muy bien planeado y ejecutado. Pasó inadvertido a los responsables de ciber seguridad de BA durante 2 semanas. El o los atacantes diseñaron e instalaron infraestructura específica para llevarlo a cabo, lo que habla del nivel de sofisticación y del propósito específico de atacar a British Airways. Entonces, por otro lado, lo que cabe preguntarse es dónde estuvo enfocada la capacidad de ciber seguridad de la empresa durante esos 15 días?
Nota por Carlos Benitez