Cómo protegernos de un hackeo como el de Air Europa

El ciberataque a Air Europa, segundo de importancia en cinco años, ha desatado las críticas de los afectados por la indolencia de la compañía a la hora de comunicarlo. La aerolínea se ha limitado a pedir la anulación de las tarjetas para hacer las reservas, pero no ha especificado el número de afectados ni su alcance temporal. Para colmo, ni siquiera han facilitado un teléfono de contacto para los damnificados y han remitido tan solo el email del Delegado de Protección de Datos.

El asunto tiene su aquel, ya que la compañía fue multada hace apenas dos años por la Agencia Española de Protección de Datos (AEPD) con 600.000 por la gestión que realizó en otro ataque que se remonta a 2018. Entonces, la aerolínea sufrió una brecha de seguridad que afectó a los datos personales y bancarios de 489.000 clientes, pero no tuvo constancia de su existencia hasta el aviso de una de las entidades afectadas, en el mes de octubre. A pesar de que la ley obliga a las empresas a advertir a la AEPD en un plazo de 72 horas, Air Europa tardó un mes en comunicárselo. Los afectados no recibieron ningún aviso hasta enero de 2019.

Por el momento se desconoce cuándo se produjo el nuevo ataque ni cuántas personas se han visto afectadas, aunque algunas fuentes aseguran que la cifra asciende a 100.000 personas. Javier Sevillano, director del Centro de Operaciones de Seguridad de Entelgy Innotec Security advierte de la importancia de responder de manera rápida y efectiva a este tipo de incidentes para hacer frente a brechas de seguridad «que podrían ser catastróficos y poner en riesgo a la compañía».

«Por ello, contar con un Plan de Respuesta a Incidentes es indispensable para tener instrucciones claras destinadas a ayudar al personal TI de la compañía a detectar, responder y recuperarse ante un problema. Responder a tiempo ayuda a mantener el negocio, a su continuidad y a generar mayor confianza en los clientes», señala.

Los datos robados pueden haber sido vendidos en la dark web

Esa confianza es precisamente lo que está en juego entre los clientes de Air Europa. Desde la Asociación de Usuarios Financieros (Asufin), explican que los datos robados pueden haber sido vendidos en la dark web, lo que multiplica las posibilidades de ser objeto de fraude y sustracción de fondos.

«Ante un incidente como el ocurrido lo más importante es contactar con la entidad bancaria emisora de la tarjeta para anularla lo antes posible y evitar potenciales fraudes que pudieran perpetrar los atacantes», afirma Sevillano.

Además, conviene recopilar cualquier prueba documental de posibles usos ilícitos de la tarjeta como prueba a la hora de presentar una denuncia. El experto de Entelgy Innotec Security recomienda estar atentos a posibles comunicaciones que los atacantes puedan hacer en nombre de la compañía o la entidad bancaria. «Nunca se deben proporcionar datos personales, ni contraseñas ni claves PIN, ya que las compañías auténticas nunca nos lo van a solicitar, dado que ya tienen esos datos», añade.

Servicio de Reclamaciones

La Dirección General de Prestaciones, Farmacia y Consumo del Gobierno balear, ha recomendado este miércoles a los ciudadanos que revisen sus direcciones de correo electrónico, incluso la bandeja de spam, por si hubieran podido recibir algún correo de la compañía. En un comunicado, la Conselleria de Salud ha explicado que, en caso de haber sufrido algún cargo indebido en la cuenta, se puede reclamar a la entidad.

Para más información, los interesados pueden consultar el Servicio de Reclamaciones del Banco de España, aunque también es preciso denunciarlo ante las Fuerzas y Cuerpos de Seguridad del Estado, con la prueba de cualquier uso no autorizado de la tarjeta bancaria.