La compañía aérea Air Europa ha sido estos días víctima de la ciberdelincuencia. Aún no se sabe a ciencia cierta cuántas personas se han visto afectadas por el hackeo, pero se estiman por miles. Según ha confirmado la compañía, el ataque ha afectado sobre todo al entorno de pagos con el que se estaban gestionando las compras a través de su web. Han asegurado que “dicha alteración fraudulenta del flujo en el proceso de pago habría permitido la extracción de datos de las tarjetas de crédito” de los clientes.
Sin embargo, aseguran que “no hay constancia de que la filtración haya terminado utilizándose para cometer ningún fraude”. Todo ello, pese a que los datos bancarios de miles de clientes de la compañía han estado pululando quizá en manos de los ciberdelincuentes alrededor de dos días. Este es el tiempo que estiman que existió “el agujero”.
Además Air Europa explicó que “los datos extraídos han sido exclusivamente a las propias tarjetas en sí y no a los clientes”. Por tanto, “en ningún caso los ciberdelincuentes han accedido a otras bases de datos de Air Europa ni han extraído otro tipo de información personal de los clientes”. El ataque sufrido por Air Europa es, según algunos expertos, uno de los más graves sufridos por una empresa española. Y quizá sea por esto, por lo que la compañía mantiene prácticamente en secreto el número real y total de víctimas del hackeo.
Una pequeña grieta en el sistema de seguridad de Air Europa
Entre las recomendaciones lanzadas por la compañía a los clientes afectados se encuentra la de ponerse en contacto, a la mayor brevedad, con la entidad bancaria con el objetivo de cancelar la tarjeta que hayan podido utilizar para pagar sus billetes. Para evitar “el posible uso fraudulento de su información”. Es decir, el riesgo a una posible suplantación de identidad y fraude. Además, se recomienda implantar la doble autenticación en las operativas que se tengan con la banca online, para evitar estos futuros posibles fraudes. La compañía ha asegurado que sus sistemas funcionan con total normalidad y ha pedido disculpas a todos sus clientes.
Varios expertos aseguran que el hackeo sufrido por Air Europa es grave. Se debe a un fallo producido por incumplir la normativa llamada PCI-DSS, dirigida a las empresas que reciben y realizan cobros online. Esta normativa impide que estas empresas almacenen datos de los CVV de las tarjetas.
Ya en 2018, Air Europa sufrió lo que los expertos llamaron una vulneración masiva de los sistemas informáticos. Esto dejó sin protección a cerca de un millón y medio de usuarios. Debido a esta vulneración, en 2021 la Agencia Española de Protección de Datos impuso una multa de 600.000€.
Varios usuarios denunciaron a través de la red social X (antes Twitter) tras recibir un mensaje de la compañía. Sin embargo, ni todos los clientes de Air Europa recibieron el mensaje ni se sabe con exactitud cuántas personas han podido verse afectadas por el fallo de seguridad.
El caso del ciberataque a Air Europa es ejemplo de muchas de las grandes compañías en las que confían miles de clientes. Una pequeña grieta en su sistema de seguridad le supone un pequeño quebradero de cabeza, pero dentro de ella acaban viéndose afectados miles de usuarios. Las multas no han sido determinantes en su cuenta de resultados. Eso sí, son muestra de que lo que marca la Agencia Española de Protección de Datos, en ocasiones, suele quedarse en papel mojado.
