Madrid
El hackeo sufrido por Air Europa esta semana sigue acaparando los focos. La aerolínea advirtió el pasado lunes haber sufrido un ataque a sus sistemas que comprometió información sensible de sus clientes y animó a todos los afectados a cancelar las tarjetas de créditos utilizadas para contratar vuelos con la compañía. Con el paso de las horas, la aerolínea confía en que la ofensiva haya sido neutralizada, gracias, entre otros, al uso de firewalls (cortafuegos) para dividir el almacenamiento de la información.
Fuentes cercanas al caso explican que la compañía con sede en Llucmajor (Mallorca) logró salvaguardar información clave como los nombres y apellidos de los titulares de las tarjetas, algo que limitaría el uso de la información sustraída (número de la tarjeta, CVV y fecha de caducidad) para usos fraudulentos, como realizar cargos o suscripciones no deseadas.
Este hecho, no obstante, no convence a algunos expertos consultados por este periódico, que inciden en que no todas las webs dedicadas al comercio electrónico utilizan esta información para validar compras. En cualquier caso, actualmente no ha trascendido el caso de ningún afectado por este ataque, ni tampoco la comercialización de la información sustraída en la deep web.
"Desde el primer momento hemos puesto en marcha todos nuestros recursos para contener el incidente, adoptando todas las medidas técnicas y organizativas necesarias. Gracias a ello, hemos asegurado nuestros sistemas, garantizando el correcto funcionamiento del servicio. Adicionalmente, realizamos las debidas notificaciones a las autoridades competentes y entidades necesarias", explicaron a sus clientes.
Certificados
Entre los expertos se siguen debatiendo algunos grises sobre la posible responsabilidad de la compañía tras el incidente. La principal duda gira en torno a si almacenaba o no datos sensibles como el código de seguridad (CVV o CVC).
La compañía tiene desde 2020 la certificación PCI-DSS, el estándar de seguridad de referencia en la industria de tarjetas de pago, que acredita que el tratamiento de la información confidencial que se maneja se ejecuta con el máximo nivel de protección y seguridad.
Esta certificación lleva a la aerolínea a validar periódicamente sus procesos ante evaluadores de seguridad certificados y exige, entre otros requisitos, no guardar información sensible como el CVV. Es por ese motivo que la principal hipótesis es que la compañía haya sufrido un ataque webskimming, que consiste en insertar código malicioso en la web y captar así la información que introducen los clientes en el momento de las compras.
Segundo ataque desde 2018
El ciberataque sufrido por Air Europa es el segundo en cinco años. El anterior afectó a datos de 489.000 clientes, entre los que se encontraba información sensible como la de este ataque. Según trascendió entonces, la brecha se tradujo en el uso de 4.000 tarjetas de crédito para cometer algún tipo de fraude.
Aquel incidente se saldó con una multa de 600.000 euros por parte de la Agencia Española de Protección de Datos (AEPD). Parte de la sanción se impuso por tardar más de 40 días en comunicar el incidente (la normativa exige que este tipo de ataques deben comunicarse a las autoridades en un plazo máximo de 72 horas desde que se detecta).
