EasyJet revela que nueve millones de consumidores se han visto afectados por un “sofisticado ciberataque”. 

Los datos de nueve millones de consumidores de EasyJet se han visto comprometidos tras un ataque, conforme a un reciente artículo de la BBC. En enero de este año EasyJet descubrió un ciberataque que alcanzó a nueve millones de consumidores, y que ha hecho público ahora según el consejo de la ICO, a fin de minimizar los efectos de posibles intentos de phishing. Hasta ahora se sabe que los datos robados incluyen detalles de los viajes y 2.208 también han visto expuestos los datos de sus tarjetas de crédito. 

Aunque la investigación está todavía en curso, EasyJet informó a la BBC que hasta abril no pudieron identificar a los consumidores afectados. 

“Esto fue un ataque muy sofisticado. Llevó mucho tiempo entender el alcance e identificar el impacto. No pudimos informar a la gente hasta que la investigación progresó lo suficiente para ser capaces de identificar a los consumidores afectados y la información comprometida”, en palabras de EasyJet recogidas por la BBC. 

Por el momento, EasyJet no ha encontrado ninguna evidencia de que se haya hecho un uso malicioso de la información, aunque la ICO está investigando el incidente y podría tomar acciones en consecuencia. Se debería tener en cuenta que, independientemente de cómo los hackers usen los datos personales comprometidos, el riesgo para los derechos y libertades que el ataque implica juega un papel esencial para evaluar las consecuencias y decidir las medidas que deberían implementarse. 

¿Cuál debería ser la respuesta de EasyJet tras el incidente? 

Los pasos que han de tomarse tras descubrir una brecha de seguridad son los siguientes: 

• Aplcar las medidas necesarias para contener la brecha.
• Informar al DPO.
• Evaluar el riesgo de la brecha e identificar elementos relevantesc omo las categorías de datos y los sujetos afectados ademas de las medidas de mitigación.  
• Informar del incidente si es necesario.
  • La ICO debería haber sido notificada en el plazo de 72 horas tras descubrir el incidente, salvo que fuese poco probable de resultar en un riesgo para los derechos y las libertades de los sujetos. 
  • Los consumidores deberían ser notificados salvo que EasyJet haya tomado las pertinentes medidas para asegurar que ya no se da la posibilidad de que se materialice el alto riesgo para los derechos y libertades de los sujetos. Esto no se da en este caso, pues datos sensibles como detalles de los viajes y de las tarjetas de créditos se han visto comprometidos y podría derivar en ataques ulteriores como phishing. Por ejemplo, bajo la actual situación de emergencia global, los detalles de viaje podrían incluir información de categorías especiales como datos de salud y confirmación de si la persona es positivo en COVID-19. 
• Evaluar la respuesta y prevenir futuras brechas de seguridad.

Es importante recordar que el motive de la mayor parte de brechas de seguridad reside en un error humano, con lo que ofrecer formación a los empleados es crucial.  

¿Has implementado todas las medidas necesarias para cumplir con el RGPD y la LOPDGDD? Aphaia ofrece servicios de consultoría para el RGPD y la LOPDGDD, y también evaluaciones de impacto, evaluaciones de la ética de la IA y subcontratación del Delegado de Protección de Datos. Infórmate aquí.