Attacks Blog

El ataque a British Airways de 2018 - La historia completa

El ataque a British Airways de 2018 afectó a 429.612 personas. Descubre por qué cside compró el dominio del atacante para convertirlo en una lección sobre seguridad web moderna.

Dec 15, 2025 • 9 min read

Simon Wijckmans Founder & CEO

El ataque a British Airways de 2018 - Análisis completo del ataque - cside

TL;DR

En 2018, mediante la obtención de las credenciales de un contratista de British Airways, actores maliciosos pudieron modificar un script ejecutado del lado del cliente para exfiltrar datos de tarjetas de crédito hacia un endpoint controlado por ellos. Ese dominio es baways[.]com, que ha sido propiedad de cside desde 2024.
En el dominio baways[.]com puedes leer con todo detalle una cronología objetiva de los eventos y sus consecuencias.
Tras el incidente, la ICO tenía previsto multar a British Airways con £183 millones, pero la multa se redujo posteriormente a £20 millones. En ese momento British Airways atravesaba dificultades por el Covid-19, lo que pudo contribuir a la reducción de la sanción.
Tras este incidente y muchos otros similares, el PCI DSS (Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago) actualizó sus requisitos para incluir la monitorización, seguridad y documentación de scripts del lado del cliente.
Hoy existen más soluciones en el mercado para ayudar a prevenir este tipo de incidentes, pero la calidad de los enfoques varía significativamente.

Por qué compramos baways[.]com

Porque podíamos. Sorprendentemente, aunque muchos proveedores hablaban constantemente del ataque, el dominio utilizado en él caducó y estaba disponible para su venta en el mercado público por la tarifa estándar de ICANN de 10,44 dólares al año.

Con el paso de los años, y a través de las páginas de marketing de los proveedores, lo que se escribía ya no se ajustaba a los hechos, así que decidimos recopilar las pruebas, los documentos judiciales, los comunicados de prensa y las páginas archivadas una última vez y publicarlo todo en un informe consolidado. En el mismo dominio que se utilizó en el ataque.

Incluso contratamos a un ex periodista para ayudar a investigar el tema.

Cronología del ataque a British Airways:

22 de junio de 2018: Un atacante accede a la red de British Airways utilizando credenciales robadas de un empleado de Swissport (un contratista de servicios de carga). La cuenta no tenía autenticación multifactor.

23-26 de junio de 2018: El atacante explora el sistema. Encuentra algo alarmante: credenciales de administrador de dominio almacenadas en texto plano. Simplemente en un archivo. Sin cifrar.

26 de julio de 2018: El atacante descubre archivos de registro que contienen datos de tarjetas de pago. También en texto plano. Procedían de una función de prueba que nunca debió ponerse en producción.

21 de agosto - 5 de septiembre de 2018: El ataque se activa. Durante 16 días, cada cliente que introdujo sus datos de pago en el sitio web de BA tuvo sus datos copiados y enviados a baways[.]com.

5 de septiembre de 2018: British Airways recibe una notificación de un tercero. Lo detienen en 90 minutos.

Cómo funcionó el ataque a British Airways

El atacante inyectó código malicioso en Modernizr, una biblioteca JavaScript habitual que ayuda a los sitios web a funcionar en distintos navegadores. British Airways estaba sirviendo esta versión comprometida a todos sus clientes.

El script malicioso esperaba a que los clientes hicieran clic en el botón de confirmación de pago
Capturaba todos los datos de pago e información personal del formulario
Enviaba esos datos a baways[.]com (que parecía legítimo, ya que BA usa "BA" en su marketing)
Todo ocurría en silencio en segundo plano
El proceso de pago normal continuaba sin ningún problema

Por qué el ataque a British Airways pasó desapercibido para la seguridad de red

El ataque ocurrió sin dejar rastros visibles. La única forma de detectar que algo fuera de lo ordinario estaba ocurriendo era a través de las herramientas de desarrollo del navegador, en la pestaña de red, cuando los datos estaban siendo enviados.

Este ataque también afectó a la aplicación móvil, que ejecutaba una webview de la aplicación web. La propia webview no tenía panel de herramientas de desarrollo, por lo que en la aplicación móvil no quedó absolutamente ningún rastro visible.

Habría sido extremadamente difícil, si no imposible, para los clientes detectar que sus datos estaban siendo robados.

Análisis del Aviso de Sanción Económica de la ICO

El daño causado

En el proceso judicial, la ICO (Oficina del Comisionado de Información) publicó las cifras completas.

Categoría	Número de afectados
Datos completos de tarjeta expuestos	244.000
Tarjeta + CVV expuestos	77.000
Solo números de tarjeta	108.000
Cuentas BA Executive Club	612
Total de personas afectadas	429.612

La ICO propuso inicialmente una multa de £183,39 millones. Tras negociaciones, el debido proceso y el escrutinio financiero provocado por el COVID-19 sobre British Airways, la multa se redujo a £20 millones.

British Airways sufrió pérdidas significativas y el CEO de entonces se vio obligado a disculparse públicamente y aseguró que los clientes afectados serían compensados.

La multa no es el único impacto financiero. Le siguieron múltiples demandas colectivas; fuentes públicas estiman los daños entre £2.000 y £6.000 por reclamante. Con más de 16.000 víctimas representadas en una sola demanda, el impacto financiero total probablemente superó la sanción regulatoria, sin contar el impacto comercial del daño a la reputación de la marca British Airways.

Por qué este incidente sigue siendo relevante en 2025

El problema no ha hecho más que crecer. La postura de seguridad de las aplicaciones web se centra en acciones dirigidas a la infraestructura web. Se presta nueva atención a la monitorización de dependencias estáticas de código abierto y a la adopción de IA en las empresas. Pero los desarrolladores web y los equipos de seguridad siguen sin saber, ni disponer de herramientas fiables para verificar, cómo se comportan sus aplicaciones web y sus dependencias —como herramientas de marketing y paquetes de código abierto— en los navegadores.

La monitorización en tiempo de ejecución del lado del cliente habría prevenido el ataque a British Airways

Este es un vector de ataque altamente dinámico, por lo que la única solución real a la amenaza de seguridad es el análisis activo en tiempo de ejecución. La presión del cumplimiento normativo ha llevado a algunas empresas a adoptar herramientas de verificación de casillas que utilizan escáneres/crawlers o enfoques sin agente. Estos son fácilmente eludibles por el actor malicioso, que simplemente no sirve las cargas útiles maliciosas a esas herramientas.

La seguridad real del lado del cliente en tiempo de ejecución sigue sin ser una prioridad alta. Los actores maliciosos son conscientes de ello, y a diario se producen ataques del lado del cliente de gran complejidad. Algunos casos recientes de gran relevancia incluyen el ataque a Bybit, el ataque a CoinMarketCap y el ataque a Polyfill de 2024, que afectó a más de 490.000 sitios web utilizando un script similar a Modernizr.

La cadena de suministro del lado del cliente presenta algunos desafíos adicionales especialmente significativos. Cada solicitud a un servidor de terceros puede generar una respuesta dinámica y diferente. El análisis constante es costoso, pero es la única forma de gestionar la postura de seguridad.

Qué cambió tras el incidente de British Airways

En torno a la época del incidente de British Airways, ocurrieron muchos incidentes similares, como la brecha de Ticketmaster y el ataque a Newegg. Mastercard, Visa y American Express revelaron que la mayor cantidad de datos de tarjetas de crédito se roba hoy en día a través de scripts maliciosos del lado del cliente. Por ello, la respuesta fue ajustar el marco de cumplimiento PCI DSS para incluir la seguridad del lado del cliente en 2 nuevos requisitos de cumplimiento: 6.4.3 y 11.6.1. Escribimos un artículo detallado sobre ellos aquí.

Tras el ajuste en PCI DSS, otros marcos del sector aclararon sus requisitos en materia de seguridad de la cadena de suministro para incluir las dependencias ejecutadas del lado del cliente. Incidentes como la filtración de datos de Kaiser Permanente impulsaron actualizaciones en HIPAA.

Cada vez es más imprescindible adoptar soluciones de seguridad en tiempo de ejecución del lado del cliente para monitorizar las acciones del sitio web; sin embargo, cada requisito de cumplimiento exige su propio formato de evidencia. Algunos se centran más en el uso de cookies, otros más en los flujos de datos. No obstante, con una solución como cside esto se vuelve muy sencillo.

Cómo ayuda cside

cside ofrece un enfoque altamente flexible para la seguridad del lado del cliente. Ya sea monitorizando el comportamiento de los scripts del lado del cliente y analizándolos en mayor profundidad en nuestro motor mediante informes del lado del cliente, cside obtiene el panorama completo. Analiza el código de las dependencias servidas en tiempo real, ayudándote a prevenir que comportamientos no deseados generen un impacto grave en el negocio.

Nuestro enfoque nos permite no solo detectar ataques avanzados y altamente dirigidos y alertar sobre ellos; cside también hace posible bloquear los ataques antes de que lleguen al navegador del usuario. Además, cumple con múltiples marcos de cumplimiento, incluyendo PCI DSS 4.0.1, HIPAA, GDPR, CPRA... Incluso proporcionamos análisis forense profundo, incluyendo los casos en que un atacante intenta eludir nuestras detecciones. Almacenamos datos sobre ataques no detectados para mejorar continuamente nuestras capacidades de detección. Todo ello te da el control que necesitas en un formato fácil de usar. Conociendo las limitaciones de los navegadores, sabemos que esta es la forma más segura de monitorizar y proteger tus dependencias en todo tu sitio web. Llevamos años en el espacio de la seguridad del lado del cliente antes de fundar cside. Conocemos las limitaciones de los navegadores e invertimos tiempo contribuyendo a organismos de estándares para mejorar y facilitar el uso de las capacidades de seguridad con soporte nativo.

Regístrate o reserva una demo para empezar.

Qué hacer a partir de aquí

Si la historia te ha intrigado, visita el micrositio interactivo en baways[.]com. Hemos hecho todo lo posible para presentarte la historia en un formato atractivo; esperamos que lo disfrutes.

Founder & CEO Simon Wijckmans

Founder and CEO of cside. Previously a product manager on Cloudflare Page Shield (now Cloudflare Client-Side Security). Co-chair of the W3C Anti-Fraud Community Group and a Forbes 30 Under 30 honoree. Building accessible security against client-side attacks — web security is not an enterprise-only problem.

Don't just take our word for it, ask AI

FAQ

Frequently Asked Questions

La brecha de datos de British Airways fue un ataque masivo de skimming de tarjetas de pago ejecutado en el navegador de los visitantes que ocurrió en 2018. Los atacantes inyectaron JavaScript malicioso en el sitio web y la aplicación móvil de British Airways, utilizando el script para capturar los datos de las tarjetas de pago directamente desde los campos de entrada. El ataque estuvo activo durante 16 días y se comprometieron 429.612 registros de pago de clientes sin ninguna interrupción visible en el funcionamiento normal del sitio. La Oficina del Comisionado de Información del Reino Unido propuso inicialmente una multa de £183 millones, que posteriormente se redujo a £20 millones.

cside adquirió baways[.]com en el mercado público por 10 dólares después de que el dominio caducara tras el ataque. Lo compramos para reconvertirlo como recurso educativo. El sitio alberga ahora un análisis técnico detallado de la brecha para ayudar a otras empresas a comprender y protegerse contra ataques similares. El hecho de que pudiéramos comprar un dominio utilizado previamente en un ciberataque de gran envergadura en un registro público pone de manifiesto los riesgos de seguridad persistentes en torno a los dominios caducados. Sin embargo, también demuestra cómo cside se preocupa por estos incidentes como ninguna otra empresa: estamos decididos a evitar que se repitan y vamos más allá de otros enfoques del mercado. Nuestros esfuerzos no se quedan en palabras ni en materiales de marketing.

Los atacantes utilizaron credenciales robadas de un contratista externo llamado Swissport, un proveedor de servicios de carga. La cuenta comprometida no tenía habilitada la autenticación multifactor. Una vez dentro, los atacantes descubrieron credenciales de administrador de dominio almacenadas en texto plano en un archivo sin cifrar, lo que les dio acceso para modificar archivos en el servidor web e inyectar código malicioso en el sitio web de British Airways.

La brecha expuso datos completos de tarjetas de pago, incluyendo:

• Números CVV de 244.000 personas,

• Datos de tarjeta y CVV de 77.000 personas,

• Y solo números de tarjeta de 108.000 personas.

Además, se comprometieron nombres de usuario y contraseñas de cuentas de empleados y administradores de BA, junto con nombres de usuario y PINs de hasta 612 cuentas del BA Executive Club. En total, aproximadamente 429.612 personas se vieron afectadas.

La Oficina del Comisionado de Información del Reino Unido propuso inicialmente una multa de £183,39 millones, la mayor multa GDPR jamás propuesta hasta ese momento. Tras negociaciones y teniendo en cuenta el impacto financiero del COVID-19 en la industria aérea, la multa final se redujo a £20 millones. British Airways también se enfrentó a múltiples demandas colectivas con daños estimados entre £2.000 y £6.000 por reclamante.

Magecart es un término colectivo para grupos de ciberdelincuentes especializados en ataques de skimming de tarjetas basados en la web. El nombre tiene su origen en ataques dirigidos al framework de eCommerce Magento. A través de vulnerabilidades del lado del servidor, los actores maliciosos inyectaban código malicioso en sitios de comercio electrónico para robar datos de tarjetas de pago directamente desde los navegadores de los clientes. La brecha de British Airways se atribuye a técnicas de Magecart. El mismo grupo fue responsable de ataques similares contra Ticketmaster, Newegg y cientos de otros sitios de eCommerce durante el mismo período.

Las empresas deben revisar de forma proactiva todos los scripts de terceros que se ejecutan en sus sitios web y eliminar los que no sean esenciales. Los equipos de marketing suelen tener la capacidad de añadir scripts al sitio web sin el conocimiento del equipo de seguridad, lo que genera incidentes graves. Las páginas de pago deben reducirse al mínimo de scripts necesarios. La monitorización continua del comportamiento de los scripts es fundamental, ya que las revisiones de seguridad periódicas no son suficientes para código que puede cambiar en cualquier momento y comportarse de forma diferente según el continente, el navegador o la hora del día. Utilizar una solución gestionada que monitorice continuamente los scripts de terceros permite detectar cambios maliciosos antes de que lleguen a los clientes. PCI DSS 4.0.1 ahora exige este tipo de controles en los requisitos 6.4.3 y 11.6.1.

PCI DSS 4.0.1 es la versión más reciente del Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago. El estándar se aplica a todas las entidades que aceptan, interactúan o almacenan información de tarjetas de pago, tanto en el mundo físico como en línea. Los nuevos requisitos se dirigen específicamente a ataques del lado del cliente como el utilizado contra British Airways. La sección 6.4.3 exige mantener un inventario de todos los scripts que se ejecutan en las páginas de pago. La sección 11.6.1 exige monitorización continua y detección de manipulaciones en los scripts, no solo auditorías periódicas. Estos requisitos equivalen esencialmente a exigir un guardia de seguridad digital vigilando las páginas de pago las 24 horas del día.

Sí. El vector de ataque que comprometió a British Airways sigue estando en gran medida desprotegido en la mayoría de las organizaciones. Aunque las empresas han mejorado sus defensas contra ataques entrantes con cortafuegos y sistemas de detección de intrusiones, los scripts de terceros que se ejecutan en los navegadores de los clientes siguen siendo un punto ciego. Los ataques similares al de British Airways ocurren con regularidad. En un caso documentado, 17.000 sitios web fueron comprometidos a través de un único exploit. El ataque a Polyfill de 2024 afectó a más de 490.000 sitios web utilizando el mismo enfoque general. Y más recientemente se observa un aumento de ataques dirigidos del lado del cliente, como el reciente ataque a CoinMarketCap en 2025.

cside monitoriza, optimiza y protege todos los scripts de terceros que se ejecutan en tu sitio web situándose entre tus usuarios y los servicios de terceros. Si un script de terceros sirve una carga útil diferente o maliciosa, cside lo detecta en tiempo real. A diferencia de las herramientas basadas en escáneres que solo ven instantáneas periódicas, cside analiza los scripts a medida que se ejecutan para usuarios reales, capturando ataques dirigidos que eluden las herramientas de seguridad tradicionales. cside también proporciona análisis forense completo de cargas útiles y ayuda a cumplir con PCI DSS 4.0.1, los requisitos de privacidad a nivel estatal en EE. UU. y los requisitos de privacidad globales.

Monitoriza y Asegura tus Scripts de Terceros

Gain full visibility and control over every script delivered to your users to enhance site security and performance.

Reservar una demo

Comenzar gratis

Comienza gratis, o prueba Business con una prueba de 14 días.

Interfaz del panel de cside mostrando monitorización de scripts y análisis de seguridad

Portada oscura del blog de cside con una onda de pixeles azules y una lista sobre ataques de scripts de terceros en plataformas de iGaming

Ataques de scripts de terceros en plataformas iGaming en 2026: la nueva superficie de ataque que los operadores pasan por alto

JavaScript de terceros es la mayor superficie de ataque sin supervisar en iGaming. Siete clases de ataque y por qué las herramientas no las detectan.

Portada oscura del blog de cside con una onda de pixeles azules y una lista sobre pixeles no autorizados en sitios de juego y responsabilidad bajo el GDPR

GDPR y juego en línea: por qué los píxeles no autorizados crean un problema de doble responsabilidad

Píxeles no autorizados en sitios de juego crean responsabilidad GDPR y bloqueos de cuentas publicitarias a la vez, aunque el operador no los instale.

Cómo Bloquear Bytespider (el Rastreador de IA de TikTok)

Bytespider rastrea tu sitio para los sistemas de IA de Bytedance. Aprende a bloquearlo con robots.txt y rangos de IP, y las claves de soberanía de datos.

Portada oscura del blog con tres métodos de ataque de scripts maliciosos: redireccionamientos desde el browser, contenedores GTM en la sombra con etiquetas maliciosas y payloads móviles geoespecíficos

Cómo los scripts maliciosos secuestran el recorrido de los jugadores de casino

Scripts inyectados redirigen a jugadores de casino antes del lobby. Las herramientas de red no los detectan. Así debe funcionar la detección.

Portada oscura del blog de cside con una onda de pixeles azules y una lista sobre seguridad de scripts para operadores de juego en APAC

Seguridad de scripts del lado del cliente para operadores de juego en línea en APAC

Cómo los operadores de juego en línea de APAC en Japón, Singapur, Filipinas y Australia pueden monitorizar scripts de terceros en sesiones reales.

Cómo Bloquear Amazon Buy for Me en Tu Sitio Web

Amazon Buy for Me compra en tu sitio para usuarios de Prime. Aprende cómo recopila datos de precios y productos y cómo la detección en el navegador te da control.

Portada oscura del blog de cside con una onda de pixeles azules y una lista sobre scripts de afiliados comprometidos que roban ingresos de casinos

Cómo los scripts de afiliados comprometidos roban los ingresos de los casinos en línea

Scripts de afiliados comprometidos redirigen jugadores y roban comisiones en páginas de casino, de forma silenciosa y a escala.

Portada oscura del blog con tres vectores de ataque de extensiones del browser: redirecciones a clones de phishing, robo de tokens de sesión y reescritura de campos de pago en el DOM

Cómo las extensiones del browser atacan a los jugadores de casino en línea: qué pueden hacer los operadores

Las extensiones del browser pueden robar tokens de sesión y secuestrar pagos en casinos. Así atacan, por qué los servidores no lo ven y cómo detectarlas.

Cómo Bloquear la Creación de Cuentas Falsas con IA

Los agentes de IA crean cuentas falsas con un comportamiento humano que vence al CAPTCHA. Aprende las señales del navegador que delatan los registros automatizados.

Cómo Bloquear CCBot (el Rastreador de IA de Common Crawl)

CCBot alimenta los conjuntos de datos de Common Crawl usados para entrenar GPT-3, BLOOM, LLaMA y muchos otros modelos de IA. Aprende cómo bloquearlo y qué consigue realmente bloquearlo.