Un investigador de la firma explicó a la cadena BBC que encontraron un código malicioso insertado tanto en la página web como en la aplicación móvil de BA, diseñado para "robar información financiera a través de cobros online".
La aerolínea, que ha rehusado hacer comentarios sobre las indagaciones de RiskIQ, informó el pasado jueves de la sustracción de datos financieros y personales de cientos de miles de clientes.
Unos 380.000 pagos con tarjeta hechos a través de la página web y app de la aerolínea entre el 21 de agosto y el 5 de septiembre se habrían visto afectados.
RiskIQ explicó que la forma de proceder del "hackeo" fue similar a la que afectó a la plataforma de venta de entradas Ticketmaster el pasado junio.
En ambos casos utilizaron un dispositivo electrónico denominado "Skimmer", para extraer informaciones de las tarjetas de crédito, indicó la firma.
RiskIQ señaló que cada vez más los sitios webs de grandes compañías incorporan códigos de otras fuentes o proveedores externos para autorizar pagos u otras funciones.
Pero estos códigos pueden ser sustituidos por "malware" o software maligno en un fenómeno denominado ataque a la cadena de suministro.
En el caso de BA, los hackers robaron nombres, direcciones de correo electrónico y detalles de la tarjeta de crédito insertando 22 líneas de "malware", agregó la compañía, que sostuvo que BA tendría que haber visto lo que ocurría.
El presidente y consejero delegado de la aerolínea, Alex Cruz, lamentó la pasada semana lo ocurrido y aseguró que "la protección de la información personal de los clientes es un asunto extremadamente serio" para la compañía. EFECOM
pbv/ad/ltm