La aerolínea española Air Europa ha sufrido un ciberataque esta madrugada que ha supuesto el robo de la información bancaria de algunos usuarios. Los afectados ya han sido avisados por la compañía aérea vía email y se les ha pedido que se pongan en contacto con su banco para cancelar la tarjeta con el fin de evitar estafas. En concreto, los datos sustraídos por los ciberdelincuentes son el número de varias tarjetas, sus fechas de caducidad y el CVV.
No obstante, fuentes de la compañía indican a LA RAZÓN que el ciberataque ya está bajo control y que ninguno de sus clientes ha sufrido un fraude con sus tarjetas de crédito. Pese a la agilidad con la que ha actuado Air Europa, la compañía ha emitido el correo de alerta para que los usuarios afectados tomen medidas de precaución. Eso sí, «si el cliente no ha recibido ninguna comunicación de la aerolínea poniéndole en conocimiento de esta situación, no hay nada de qué preocuparse pues no está afectado», subraya la aerolínea.
«Ante el riesgo de suplantación de tarjetas y fraude que este incidente podría suponer, y en aras a proteger sus intereses, le recomendamos que siga los siguientes pasos», recoge el correo electrónico compartido por varios usuarios en X, red social antes conocida como Twitter.
Estos pasos son:
1. Identifique la tarjeta usada para efectuar pago/s en la página web de Air Europa.
2. Contacte con su entidad bancaria.
3. Solicite la anulación/cancelación/sustitución de esa tarjeta para poder evitar el posible uso fraudulento de su información.
4. No facilite información personal, su pin, nombre o cualquier otro dato personal a través de teléfono, mensaje o email, incluso cuando se identifiquen como su entidad bancaria.
5. No pinche enlaces que le avisen de operaciones fraudulentas. Póngase en contacto directo con su entidad bancaria por medios constatables.
6. Recopile cualquier prueba de posible uso no autorizado de su tarjeta y denúncielo ante las Fuerzas y Cuerpos de Seguridad del Estado.
«Si has recibido una comunicación, te sugerimos seguir las recomendaciones. Se están tomando las medidas necesarias para abordarla de manera adecuada. Queremos enfatizar que no se ha visto comprometida la integridad de nuestros servidores ni bases de datos», responde Air Europa a un usuario en X.
No se ha producido ningún fraude
Air Europa ha confirmado que ha sufrido «un problema de ciberseguridad que habría afectado al entorno de pagos con el que se gestionan las compras a través de la web». Dicha alteración fraudulenta del flujo en el proceso de pago habría permitido la extracción de datos de las tarjetas de crédito. No obstante, «no hay constancia de que la filtración haya terminado utilizándose para cometer ningún fraude».
«La detección y rápida intervención del equipo para la aplicación del protocolo establecido en nuestro plan de respuesta ha permitido bloquear la brecha de seguridad y prevenir la filtración de nuevos datos», asegura la compañía. La compañía añade que “los datos extraídos han sido exclusivamente los asociados a las propias tarjetas en sí y no a los clientes” y que “en ningún caso los ciberdelincuentes han accedido a otras bases de datos de Air Europa ni han extraído otro tipo de información personal de los clientes”.
Air Europa asegura que sigue analizando lo sucedido, la procedencia del ataque y el uso de la información sustraída, aunque hasta el momento no tiene constancia de que se haya cometido ningún fraude. Sus sistemas funcionan actualmente con normalidad y se pone a disposición de los clientes para resolver cualquier duda. “Nuestro objetivo es evitar que situaciones similares se produzcan en el futuro, así como minimizar las posibles molestias que todo ello pueda causar”, termina diciendo el correo electrónico.
Con la información disponible, Luis Corrons, Security Evangelist de Avast, considera que podría tratarse de un ataque tipo “formjacking”, también conocido como “Magecart” (por uno de los grupos que comenzó a popularizar este tipo de ataque) o como “web skinning”. Se trata de una forma de fraude en línea que involucra la infiltración en sitios web de comercio electrónico para robar datos de tarjetas de crédito de los clientes mientras realizan compras. Los atacantes insertan código malicioso en el sitio web, que luego captura y transmite los datos de la tarjeta de crédito a un servidor controlado por los atacantes. Este tipo de ataque ha afectado a numerosas empresas y ha expuesto datos sensibles de consumidores en los últimos años, siendo uno de los más sonados el que sufrió otra compañía aérea, British Airways.
Este no es el primer hackeo que sufre Air Europa. En el año 2018 se produjo un ciberataque muy similar, en el que fueron sustraídos los datos bancarios de 489.000 clientes, de los que se derivó el uso fraudulento de unas 4.000 tarjetas. En aquella ocasión, la Agencia Española de Protección de Datos le puso una multa de 600.000 euros a Air Europa. En rigor, aquella multa se correspondía con dos incumplimientos diferentes. Por un lado, el organismo público le impuso una sanción económica de 500.000 euros a Air Europa porque se consideró que las medidas de seguridad desplegadas por la aerolínea española no eran suficientes para garantizar el acceso no autorizado a los datos de sus clientes. Por otra parte, la AEPD impuso una multa de 100.000 euros por haber notificado el incidente con 41 días de retraso, cuando el máximo legal es de 72 horas desde que se tiene constancia de él.
Con información de La Razón.
