Hackeo a gran escala
Venta de datos, sustracción de fondos del banco... qué temer del segundo ciberataque masivo a Air Europa
Los delincuentes se han hecho con los números de la tarjeta bancaria, su fecha de caducidad y el código de verificación de los clientes de la aerolínea
«Le comunicamos que recientemente se detectó un incidente de ciberseguridad en uno de nuestros sistemas consistente en un posible acceso no autorizado a datos de su tarjeta bancaria». Cientos de clientes de Air Europa se despertaron este martes con un buen susto, después de que la aerolínea sufriera el hackeo de sus sistemas de seguridad. Lo preocupante es que se trata del segundo gran ataque en solo cinco años.
Todavía no se conoce el número total de afectados ni el alcance del ataque, pero las entidades están recibiendo decenas de llamadas de personas que se han interesado por su situación. Y es que los datos sustraídos son el número de tarjeta bancaria, su fecha de caducidad y el CVV o CVC –código de verificación– que se encuentra en el reverso de la misma, con los que los delincuentes pueden realizar cualquier compra online sin ningún tipo de limitación. Air Europa ya ha recomendado a los afectados que identifiquen la tarjeta utilizada para hacer los pagos y contactar con la entidad bancaria.
«Ante un incidente como el ocurrido lo más importante es contactar con la entidad bancaria emisora de la tarjeta para anularla lo antes posible y evitar potenciales fraudes que pudieran perpetrar los atacantes», señala Javier Sevillano, director del Centro de Operaciones de Seguridad de Entelgy Innotec Security.
Además, conviene recopilar cualquier prueba documental de posibles usos ilícitos de la tarjeta como prueba a la hora de presentar una denuncia. El experto de Entelgy Innotec Security recomienda estar atentos a posibles comunicaciones que los atacantes puedan hacer en nombre de la compañía o la entidad bancaria. «Nunca se deben proporcionar datos personales, ni contraseñas ni claves PIN, ya que las compañías auténticas nunca nos lo van a solicitar, dado que ya tienen esos datos», añade.
La aerolínea ha asegurado que no todos sus clientes se han visto afectados –solo aquellos que han recibido la comunicación– y que los sistemas ya funcionan con total normalidad.
Por su parte, la Asociación de Usuarios Financieros (Asufin) revela que, aunque el ataque puede tener como objetivo chantajear a los afectados, no descartan que los datos robados hayan sido vendidos en la denominada dark web, donde las posibilidades de ser objeto de fraude y sustracción de fondos se multiplican.
Brecha de seguridad
Se trata del segundo ataque a esta compañía en apenas cinco años. En 2018, la aerolínea sufrió una brecha de seguridad que afectó a los datos personales y bancarios de 489.000 clientes. Por ello, la Agencia Española de Protección de Datos (AEPD) sancionó a Air Europa con 600.000 euros por su gestión del asunto.
La aerolínea no tuvo constancia de la existencia de la brecha hasta que recibió la notificación de una de las entidades en octubre de 2018 y tardó un mes en avisar a la AEPD –a pesar de que la ley exige que se tarde 72 horas–. Los clientes no recibieron ninguna comunicación al respecto hasta enero de 2019.
Plan de respuesta
Sevilla comenta que «responder de manera rápida y efectiva a un incidente de ciberseguridad es clave para poder hacer frente a brechas de seguridad y otros incidentes que podrían ser catastróficos y poner en riesgo significativo a la compañía».
«Por ello, contar con un Plan de Respuesta a Incidentes es indispensable para tener instrucciones claras destinadas a ayudar al personal TI de la compañía a detectar, responder y recuperarse ante un problema. Responder a tiempo ayuda a mantener el negocio, a su continuidad y a generar mayor confianza en los clientes», concluye.