Opinión de los expertos: la filtración de datos de easyJet

Seguro que ya has oído hablar de la filtración de datos de easyJet. Más de 9 millones de clientes sufrieron la filtración de información personal identificable (PII), y unos 2.000 clientes vieron los datos de sus tarjetas. Hugo van den Toorn, director de seguridad ofensiva de Outpost 24, advirtió que «a menudo, tras una violación de este tipo, la información se vende a mercados clandestinos, y este tipo de datos suele utilizarse en diversos ataques: Datos de tarjetas de crédito para realizar pagos ilícitos y datos personales para ataques de phishing dirigidos». Los importantes daños causados por esta filtración se traducirán probablemente en cuantiosas multas reglamentarias y en una importante pérdida de confianza entre easyJet y sus clientes. De hecho, según la legislación del GDPR, la Oficina del Comisionado de Información (ICO) puede imponer una multa del 4% de la facturación de easyJet en 2019, lo que podría ascender a 255 millones de libras.

Johan Lundgren, consejero delegado de easyJet emitió ayer una disculpa pública, destacando el mayor riesgo al que se enfrentan los clientes en un panorama dominado por COVID-19 estafas de phishing. «Desde que tuvimos conocimiento del incidente, ha quedado claro que, debido a Covid-19, hay una mayor preocupación por el uso de datos personales para estafas en línea. En consecuencia, y por recomendación de la OIC, nos estamos poniendo en contacto con los clientes a cuya información de viaje se ha accedido y les aconsejamos que extremen la vigilancia, especialmente si reciben comunicaciones no solicitadas.»

Niamh Muldoon, directora senior de confianza y seguridad de OneLogin, señaló que «easyJet ha seguido los procedimientos correctos al notificar a los clientes que se vieron afectados y advertir públicamente a los nueve millones de personas cuyas direcciones de correo electrónico habían sido robadas». Sin embargo, Muldoon planteó otros problemas con las normas de seguridad actuales, declarando: «Los atacantes saben que muchas organizaciones no adoptan una postura lo suficientemente fuerte en lo que respecta a la seguridad de acceso». Felix Rosbach, director de producto de comforte AG, especialista en seguridad de datos, se hace eco de esta idea y afirma: «Las organizaciones que procesan datos PII deben adoptar un enfoque serio de la seguridad centrada en los datos. Existen métodos probados que pueden reducir el impacto de estas violaciones de datos». Lamentablemente, easyJet no mostró una mentalidad centrada en los datos.

Rosbach continuó explicando cómo easyJet podría haber evitado esta filtración: «La tokenización es un gran ejemplo. Con este enfoque, todos los elementos de datos sensibles se sustituyen por tokens. Esto significa que, en caso de violación de los datos, éstos carecen de valor para los atacantes». Chris Hauk, defensor de la privacidad de los consumidores en Pixel Privacy, subrayó la afirmación de Rosbach afirmando que «las violaciones de datos como la de EasyJet ponen de manifiesto la necesidad de aumentar la seguridad por parte de las empresas, así como la vigilancia constante por parte de los consumidores, que deben trabajar para asegurarse de que no están utilizando la misma información de inicio de sesión y contraseña en varios sitios web».

La mayoría de los profesionales de la seguridad con los que hemos hablado tienen el mismo problema con la brecha de easyJet. De hecho, Brian Higgins, especialista en seguridad de Comparitech.com, dijo al Gurú de la Seguridad Informática que «easyJet debería contar con un plan integral de respuesta a incidentes para hacer frente a este ataque. Los próximos días nos mostrarán si es así, aunque el hecho de que puedan asegurar a sus clientes que «no hay pruebas de que se haya utilizado indebidamente ninguna información personal de ninguna naturaleza» muestra una ingenuidad preocupante». Lamentablemente, esta ingenuidad acabará dañando la confianza entre easyJet y su clientela de vacaciones. Robert Ramsden-Board declaró que «los pasajeros tienen que confiar en que las compañías aéreas protegen sus datos personales cuando reservan con ellas, pero una filtración de esta magnitud rompe esa confianza».

Desgraciadamente, esta brecha dará lugar a un número importante de estafas de phishing. Como declaró Ramsden-Board, «lo más probable es que veamos una serie de ataques de phishing dirigidos a los clientes de EasyJet en un futuro próximo, por lo que todos los clientes deberían estar alerta ante cualquier actividad sospechosa.»

Teniendo esto en cuenta, cualquier persona que haya utilizado easyJet en el pasado debería asegurarse de cambiar sus preferencias de seguridad y actualizar sus credenciales con una contraseña única para evitar cualquier otro daño personal.