Air Europa, contra las cuerdas por el ciberataque que ha sufrido

La compañía se enfrenta a una posible multa por no haber comunicado el hackeo, perpetrado por ciberdelincuentes rusos, en el plazo obligado.

Silvia

Redactora especializada en Seguridad y Tecnología.

Guardar

Avión 787 Dreamliner de Air Europa (Foto: Jorge Guardia/Air Europa)
Avión 787 Dreamliner de Air Europa (Foto: Jorge Guardia/Air Europa)

El ciberataque sufrido por Air Europa ha puesto en jaque la seguridad de algunos clientes de la aerolínea y también ha puesto contra las cuerdas a la propia aerolínea.

Fue el pasado martes por la noche cuando la compañía dio la voz de alarma sobre el hackeo, enviando un e-mail a los usuarios afectados para advertirles que los ciberdelincuentes habían tenido acceso a datos de sus tarjetas bancarias, por lo que les instaba a que las dieran de baja para evitar operaciones fraudulentas, si bien afirmaba no tener constancia de que "la filtración haya terminado utilizándose para cometer ningún fraude".

Air Europa puso en valor su rápida reacción ante el incidente, que daba por solventado, pero eso no impidió que se situara en el punto de mira, tal y como adelantamos en Escudo Digital. Según explicamos, el hecho de que la filtración haya incluido el código CVV de las tarjetas ha dejado entrever que la compañía podría haber incumplido la normativa para todas las entidades que almacenan, procesan o transmiten datos de titulares de tarjetas, el PCI DSS, el cual prohíbe expresamente guardar el CVV de las tarjetas, así como otros datos confidenciales de autenticación de las tarjetas de pago, el contenido de la banda magnética y el PIN/Bloque de PIN. Además, como también informamos, la Organización de Consumidores de Usuarios (OCU) expresó públicamente su recelo hacia Air Europa al informar, a través de un comunicado, que había solicitado a la Agencia Española de Protección de Datos (AEPD) que investigara cuándo se produjo el ataque informático para comprobar cuánto tiempo tardó la firma en alertarlo.

"OCU recuerda que Air Europa fue sancionada por una mala gestión de un ataque similar que, en 2018, afectó a 489.000 clientes, por comunicar incidencias con 41 días de retraso, cuando es obligatorio hacerlo en las 72 horas siguientes", se lee en el comunicado de la OCU.

Air Europa ha vuelto a incumplir este plazo

Así lo pone de manifiesto la información publicada por Diario de Mallorca, que cita fuentes internas de Air Europa en la isla. Según indica, el ataque informático se perpetró contra los servidores de la aerolínea en su sede central de Mallorca, en Llucmajor, y tuvo lugar entre los días 26 y 29 de septiembre. Tomando como referencia este último día, la compañía debería haber revelado este incidente de seguridad el 2 de octubre a más tardar, por lo que ha vuelto a incumplir el plazo, tal y como sospechaba la OCU.

Esta vez, ha dado a  el incidente con más de una semana de retraso, por lo que presumiblemente será multada por la AEPD, que ya la impuso una sanción de 600.000 euros por la brecha de seguridad del 2018, en la que los hackers tuvieron acceso a datos personales y bancarios. En esta ocasión, Air Europa ha asegurado que los datos extraídos han sido "exclusivamente los asociados a las propias tarjetas en sí y no a los clientes". "En ningún caso los ciberdelincuentes han accedido a otras bases de datos de Air Europa ni han extraído otro tipo de información personal de los clientes".

El ataque ha sido cometido por hackers rusos y afecta a unos 100.000 clientes de Air Europa

Siguiendo la información del Diario de Mallorca, el ciberataque sufrido por Air Europa ha comprometido las tarjetas bancarias de alrededor de 100.000 clientes y ha sido obra de hackers de origen ruso. La repercusión del hackeo está siendo notable y no cabe duda de que ha puesto en entredicho a la aerolínea, que podría volver a ser sancionada y enfrentarse a otras consecuencias que pueden afectar a sus ventas o a su imagen de marca.  

Además, cabe destacar Air Europa ha tomado medidas para saber cómo han conseguido vulnerar sus sistemas y ha contratado a Deloitte para llevar a cabo una investigación forensic y determinar la magnitud real del ataque, según informa El Confidencial. Así, espera poder esclarecer el incidente, conocer la magnitud del ataque, y aplicar otras medidas para reforzar la ciberseguridad de sus sistemas y poder dejar atrás este capítulo.