¿Cómo fue hackeada Air Europa? Hipótesis de experto

No es la primera vez que la compañía vive esta situación. En 2018, sufrió una muy parecida que, al final, terminó con 489.000 clientes afectados, fraude a 4.000 tarjetas y una multa de 600.000 euros -500.000 euros por falta de medidas de seguridad y 100.000 por haber comunicado el fallo con 41 días de retraso, cuando debe hacerlo en las siguientes 72 en notificar el incidente.

Consultamos a Joan Massanet, responsable de Producto y Ciberseguridad de BinauraMonlex, firma especializada en riesgos y seguridad de la información, su valoración sobre este caso de hackeo de una compañía como Air Europa y la seguridad de los datos bancarios de sus clientes, una empresa a la que ya le hicieron un ataque similar hace cinco años.

Air Europa enfrenta por segunda vez un ciberataque. Fuente: Air Europa

“En ciberseguridad hay algo que se denomina learned lessons (lecciones aprendidas), supongo que cuando tuvieron ese primer ataque en 2018, aprendieron bastantes cosas. De momento, la empresa ha cumplido con la obligación de notificar en las siguientes 72 horas a detectar la incidencia. Por otro lado, me sorprendería que los datos recogidos, en especial, el número CVV estuviera almacenado de alguna manera, ya que está prohibido hacerlo por la normativa PCI-DSS, que es muy estricta, y Air Europa está cumpliendo porque están certificados en ella. Sería muy extraño que estuviesen almacenando esta información, habiendo pasado una auditoria”.

En tal sentido, Massanet apunta que parece más un ataque en la operativa de la empresa y no al almacenaje o base de datos de la compañía, y que hayan interceptado los datos a través de un ataque tipo man in the middle.

“Realmente, en estos momentos, no sabemos qué tipo de ataque ha sido. Por la información que se maneja en los foros de expertos en ciberseguridad en los que participamos, lo más probable es que los registros DNS hayan sido manipulados para tener algún tipo de host medio que recogiera esos datos en tránsito; es decir, se piensa que ha podido ser un ataque en la parte de proceso cuando se ejecuta la compra, en la pasarela de pago de la página web de la aerolínea”.

Explica que “la operativa es en el proceso del pago, cuando el cliente está suministrando los datos para pagar… Es decir, que se han manipulado los registros de DNS para apuntar a un host o a un ordenador controlado por los ciberdelincuentes que se hiciera pasar por la pasarela de pago de Air Europa y, de alguna manera, conseguían transmitir esa información desde esa pasarela hacia la página web de Air Europa, así la confirmación venía de la aerolínea, pero ya habían captado los datos. Es decir, los interceptan en la mitad del proceso”.

Afirma que eso es lo que se deduce en los foros de expertos: “No hay todavía confirmación por parte de Air Europa de cómo ha sido, por lo que el ataque más probable que se ve desde los ámbitos de ciberseguridad es en el momento que se ejecuta y confirma la compra”.

¿Responsabilidades?

En cuanto a responsabilidades de la empresa, Massanet destaca que habría que comprobar hasta qué punto no han actuado con la diligencia debida cuando detectaron el ataque.

"Según la compañía, ha informado de inmediato a AEPD, INCIBE, entidades bancarias y a los afectados, por supuesto. La responsabilidad de Air Europa podría ser, en todo caso, no haber cumplido de forma diligente con sus políticas de seguridad, porque todos estamos sujetos o podemos estar sujetos a un ciberataque y, si ponemos las medidas de seguridad adecuadas o las que correspondan para proteger los datos que estamos procesando, en teoría no debería haber una responsabilidad muy grande de la aerolínea… Es muy complicado pronosticar qué ha pasado porque es un caso muy complicado".

Agrega que hay ataques denominados “de día cero”, en los que no se puede conocer si se tiene una vulnerabilidad que, en cambio, es detectada por un ciberdelincuente que la aprovecha si les representa un rédito económico.

Reitera que, en general, la responsabilidad está en si no ha actuado como debía, por una mala praxis o cómo han hecho las mitigaciones de un eventual ciberataque, pero eso lo determinarán las autoridades competentes o un juez.

¿Qué hacer?

Massanet señala que su recomendación a los afectados, es cancelar de inmediato sus tarjetas utilizadas en las reservas con Air Europa, como recomendó la aerolínea, para evitar fraudes de los ciberdelincuentes, porque todos los datos que se han filtrado permiten realizar una compra. También, que activen los dobles factores de autenticación de sus bancos, si no lo tienen hecho.

“Mi recomendación, directamente, es cancelar si ha habido algún tipo de transacción con la aerolínea, porque esto parece que llevaba sucediendo desde hace unas cinco semanas, como mínimo, confirmado por gente que nos lo ha comunicado que hace más de un mes, al parecer, los ciberdelincuentes estaban recopilando estos datos, parece ser, porque han recibido correos”.

Más noticias:

- Air Europa sufre un ciberataque y pide a sus clientes anular sus tarjetas

- Casi 400.000 pagos a British Airways, afectados por el robo de datos

- Ciberataques en agencias de viajes: estos son los más habituales

- Ciberseguridad: las pymes turísticas solo aprenden después de un susto

- Ciberseguridad en turismo: el sector responde a la amenaza

- Los 8 tipos de ciberataques más habituales en hoteles en 2023

- Ataques de 'phishing' en "punta de lanza" amenazan al sector turístico