El pasado mes de julio, la Oficina del Comisionado de Información de Reino Unido (ICO, según sus siglas en inglés) multó a la aerolínea British Airways, perteneciente al grupo IAG, tras haberse visto comprometidos los datos sensibles de casi 400.000 clientes que efectuaron una reserva entre el 21 de agosto y el 5 de septiembre de 2018 a través de su página web. Esta sanción no solo se trata del mayor correctivo impuesto, hasta la fecha, tras la aplicación del Reglamento General de Protección de Datos de la UE (RGPD, por sus siglas), sino que de lo ocurrido se infiere una pregunta que, a mi parecer, es de urgente respuesta: ¿hasta qué punto la información que almacena ésta u otras aerolíneas está segura?
Según un informe de la empresa de telecomunicaciones SITA, la industria de la aviación está teniendo problemas a la hora de implementar iniciativas de ciberseguridad para proteger a sus usuarios. Algo que a muchos nos sorprende de este estudio es que el 50% del sector no comprende que esta seguridad es parte de su registro general de riesgos, aunque muchas compañías ya tienen previsto incluirla dentro de su plan para el 2021. Más llamativo es aún que tan solo menos de un tercio de las organizaciones tiene un CISO (director de seguridad de la información) entre sus filas.
Las aerolíneas están teniendo problemas a la hora de implementar iniciativas de ciberseguridad para proteger a sus usuarios
Si tenemos en cuenta el panorama que describe el estudio, no es de extrañar que British Airways tardara 16 días en detectar la brecha de seguridad y corregirla, ni que una parte de los consumidores haya perdido la confianza en la empresa, con las consecuencias negativas que todo ello conlleva para la aerolínea.
Este caso no es más que un ejemplo de cómo, a medida que la cantidad de datos personales en poder de las organizaciones continúa creciendo,los ciberatacantes están encontrando fórmulas más sofisticadas para conseguir el acceso a dicha información y utilizarla de manera ilícita para obtener beneficios. Las empresas ahora se enfrentan a fuertes multas gracias a la aplicación del RGPD, por lo que es momento de que reevalúen si el alto coste financiero de las sanciones supera la inversión que habría supuesto prevenir los fallos desde el primer momento.
Los problemas de esta índole no solo afectan a British Airways, sino a la industria aérea en general. Las aerolíneas tienen el deber de mantener los aviones en el aire y que la seguridad física de los pasajeros no se vea comprometida en ningún momento del viaje, por lo que la mayor parte de la inversión se destina a esta materia. Sin embargo, la sentencia de la agencia de protección de datos de Reino Unido demuestra que la inversión también debe dirigirse a la tecnología: conforme las aerolíneas se vuelven cada vez más dependientes del software, esto crea más puntos de ataque para los hackers, por lo que no es sorprendente que brechas de esta escala empiecen a convertirse en algo relativamente común y preocupante.
¿Qué deben hacer las organizaciones? Incrementar las medidas de seguridad de software, aplicaciones web y redes de conexión, como punto de partida. Para ello no solo debe contar con la mejor tecnología de su campo – por supuesto, completamente actualizada a la última versión –, sino también con personal cualificado en ciberseguridad que, junto con las herramientas necesarias, realice escaneos periódicos del código software y monitorice las conexiones para detectar y solucionar todos los errores e intentos de ataque.
Asimismo, y también relacionado con el personal, la educación de los trabajadores es esencial. Todos aquellos empleados que interactúen con software – del tipo que sea – deben recibir cursos de formación que les explique cómo usarlo de forma correcta para evitar posibles errores humanos. Los equipos dedicados a la seguridad, capitaneados por el CISO, también deben tener a su disposición programas de formación que amplíen sus conocimientos en ciberseguridad y que estén enfocados a mejorar sus conocimientos en la materia y, por ende, su capacidad de resolver de manera ágil y rápida todos los problemas con los que se encuentren.
En conclusión, si la industria aeronáutica pretende evitar un nuevo ataque que exponga los datos sensibles de sus clientes y las consecuencias económicas y reputacionales derivadas, debe dar un paso hacia adelante en materia de seguridad. Y de forma muy urgente.
Alejandro Novo, director de Veracode para España, Portugal e Italia
