Los cibercriminales no van en tren, van en avión: Aprendamos de los desastres

Esta última quincena nos hemos enterado que dos de las más grandes y reconocidas aerolíneas a nivel mundial han sido afectadas por violaciones de datos que exponen los datos personales de cientos de miles de sus pasajeros. De esto también podemos obtener lecciones.

Los incidentes de seguridad informática continúan afectando constantemente a todos los sectores productivos. Este mes ha sido particularmente duro para la industria de la aviación. Las aerolíneas son blancos constantes para los cibercriminales, pues trabajan y almacenan grandes cantidades de datos personales y financieros de muchísimas personas. El año pasado supimos que un cibercriminal irrumpió en la red interna de Virgin. Luego, durante la primera mitad de 2018, Delta reveló el robo, a través de un proveedor de servicios, de los datos personales y financieros de “varios cientos de miles” de pasajeros. En agosto de 2018 fue el turno de Air Canada, aerolínea que fue afectada con el robo de datos de 20.000 de sus pasajeros. Luego fue el turno de British Airways, quienes en septiembre confesaron haber sido víctimas de un ataque que, durante 15 días, logró en un principio, obtener los datos de 380.000 de sus clientes. La semana pasada nos enteramos de que el ataque obtuvo los datos de 429.000 de sus pasajeros, en total.

Las últimas noticias hablan del reciente ataque a Cathay Pacific, una de las 10 mejores aerolíneas del mundo, que fue golpeada con el robo de datos de 9,4 millones de pasajeros, convirtiéndose en el mayor ataque informático de la industria de la aviación. 

Un data breach puede significar la pérdida de tus clientes si no lo sabes manejar.

Estos robos de información han logrado obtener diferentes tipos de datos: personales, identificables, financieros; números de viajero frecuente, de pasaportes, de tarjetas de crédito, junto a sus cvvs, etc., y llaman la atención las cifras y botines de los ataques, pero es lógico: estas empresas recaban un enorme volumen de datos, y por esto, para los ciberdelincuentes, las aerolíneas (así como los hoteles, y también hemos visto enormes robos de datos en esa industria) son un blanco bastante apetecido, pues los dueños de estos datos son personas que pueden pagar los altos precios de los viajes intercontinentales, y por ende, sus datos personales y financieros tienen un mayor potencial de ganancia para un delincuente. Es así como se pone de manifiesto la contrariedad de que esta industria ultra regulada siga con controles tan laxos en cuanto a su seguridad informática. Considerando el volumen y tipos de datos que transan, deberían regirse por controles mucho más estrictos en materia de seguridad de la información, tal como lo hacen en materia de operaciones. 

Una vez que estos verdaderos desastres de la aviación ocurren, no se puede volver atrás, pero la industria de la aviación es una de las más resilientes. Cada vez que ha ocurrido un accidente, se estudian a cabalidad los motivos de estos, y ha sido así como se ha logrado que la forma más segura para viajar sea en avión. Así también debería hacerse con la seguridad informática. Se pueden obtener lecciones de todo. En el caso de estos grandes data breaches, las lecciones para las empresas en términos del manejo de estos incidentes son: 

  • La comunicación es clave, tanto para audiencias internas (trabajadores, proveedores, colaboradores, etc) como externas (clientes). 
  • Ser franco, abierto y sincero, admitir lo que ocurrió y aceptar las responsabilidades
  • Proveer detalles y explicar cómo ocurrió el incidente
  • Mitigar: se deben proveer soluciones a los usuarios impactados, y si es posible, ofrecer formas de reparación a los clientes
  • Educar proveyendo información sobre las mejores prácticas que prevendrían que cosas similares ocurrieran en el futuro
  • Invitar a un diálogo abierto que incluya a clientes, expertos de la industria y el publico en general.