Los datos de las tarjetas de crédito y débito de todos los clientes y usuarios que hayan volado en Air Europa han quedado expuestos esta madrugada cuando unos ciberdelincuentes se han hecho con ellos accediendo al sistema en el que se almacenaban. La compañía no ha tenido más remedio que advertir que esas tarjetas bancarias, varios miles, deben ser anuladas para evitar mayores disgustos a sus dueños.
El experto en ciberseguridad de ESET, Josep Albors, explica a MERCA2 que la decisión de cancelar las tarjetas es absolutamente lógica, «puesto que los que las hayan obtenido pueden usarlas para hacer pagos, compras y retirar efectivo».
Albors aclara que mientras la compañía no facilite la información de cómo han llegado los ciberdelincuentes hasta eso datos tan sensibles, solo se puede teorizar, aunque todos los caminos llevan a los mismo métodos habituales de los atacantes; «es posible que haya habido un acceso no autorizado al sistema que almacenaba esas tarjetas. Esto puede deberse a que han obtenido las credenciales de algún usuario con permiso para acceder a ese sistema, por ejemplo».
la decisión de cancelar las tarjetas es absolutamente lógica, puesto que los que las hayan obtenido pueden usarlas para hacer pagos, compras y retirar efectivo
Como experto, el investigador de ESET nos explica que el procedimiento para llegar a un sistemas que almacena datos tan sensibles, como son los bancarios de los clientes y sus claves, «se debe a que han obtenido alguna credencial que les haya permitido acceder a la red interna y desde ahí pivotar y escalar privilegios hasta acceder al sistema donde se guardaban. Puede haber empezado con un phishing, que solicitase el ingreso de credenciales o descargase un infostealer (un malware) en el sistema de un empleado de la empresa«.
No obstante, Albors no descarta que los ciberatacantes hayan aprovechado alguna vulnerabilidad para conseguir acceso y escalar privilegios, «o incluso (aunque menos probable), haber atacado a un proveedor de la compañía y realizar un ataque de cadena de suministro, donde suplantan la identidad de este proveedor de confianza para conseguir el acceso usando phishing, malware o explotando vulnerabilidades.
ANULAR SI HAS PAGADO A AIR EUROPA
Al haberse visto afectado al entorno de pagos con el que se gestionan las compras a través de la web, según ha confirmado el equipo de sistemas de la compañía, que al ser una aerolínea está considerada como empresa «esencial», tiene que avisar y comunicar que ha sido atacada, tal y como indica la legislación europea y española (Ley NIS2) y hacer público el desastre para que no se produzcan daños mayores. Por esa razón, la compañía ha advertido a todos sus usuarios y usuarias, es decir, aquellos que hayan pagado vuelos a través de su web con tarjetas bancarias, que las anulen antes de tener mayores problemas con compras y retirada de dinero por parte de los delincuentes.
no hay constancia de que la filtración haya terminado utilizándose para cometer ningún fraude», nada impide que los cibercriminales estén ya gastando por doquier cantidades de las tarjetas «robadas» digitalmente
Como la alteración «fraudulenta» del flujo en el proceso de pago ha permitido la extracción de datos de las tarjetas de crédito de los clientes, aunque tal y como ha explicado la compañía a primera hora de la mañana de este martes, «no hay constancia de que la filtración haya terminado utilizándose para cometer ningún fraude», nada impide que los cibercriminales estén ya gastando por doquier cantidades de las tarjetas «robadas» digitalmente.
La aerolínea española ha asegurado que «la detección y rápida intervención del equipo» para la aplicación del protocolo establecido en su plan de respuesta ha permitido bloquear la brecha de seguridad y prevenir la filtración de nuevos datos. También ha asegurado que continúa con el análisis de lo sucedido, la procedencia del ataque y el uso de la información sustraída, aunque hasta el momento no tiene constancia de que se haya cometido ningún fraude.
Han sido varios los usuarios del antiguo Twitter (ahora X), los que han dado la voz de alarma de los avisos que estaban recibiendo por parte de la compañía, que se ha dado prisa en advertir del peligro, a lo que está obligada por ley y por cuestión ética, lógicamente. Muchos usuarios de Air Europa recibieron correos electrónicos de la aerolínea en el que avisaba de que había sufrido un ciberataque, y que le habían robado los datos relativos a la información bancaria de muchos de sus usuarios.
Aunque no especificaba si los datos de cada usuario contactado estaban expuestos, sí que advertía de esa posibilidad, y explicaba que habían sido robados los números de las tarjetas, sus fechas de caducidad y el código de seguridad de la parte de atrás, el conocido como CVV. La compañía también ha aclarado que los datos robados en el ciberataque se refieren a las tarjetas bancarias, y en ningún caso a los datos personales de los clientes.
