REDACCIÓN INTERNACIONAL.- Air Europa envió un correo a sus clientes informando de un ciberataque. La aerolínea explica que tuvieron un problema de ciberseguridad que habría afectado a su entorno de pagos con el que gestionan las compras a través de la web.
Ante el «riesgo de suplantación de tarjetas y fraude que este incidente puede suponer«, pidieron a los clientes que cancelen las tarjetas de crédito que hayan sido utilizadas para pagos con Air Europa, pues esos datos podrían haber sido sustraídos.
Según se describe en los correos enviados a los clientes, los datos afectados serían el número de varias tarjetas, sus fechas de caducidad y el CVV. Información suficiente sensible como para recomendar ponerse en contacto con la entidad bancaria y solicitar la anulación de la tarjeta para evitar un potencial mal uso.
Air Europa explicó que «dicha alteración fraudulenta del flujo en el proceso de pago habría permitido la extracción de datos de las tarjetas de crédito«, pero que «no hay constancia de que la filtración haya terminado utilizándose para cometer ningún fraude.«
El equipo de la aerolínea informó que continúa analizando lo sucedido y ya intervino para bloquear la brecha de seguridad, por lo que no se prevé que haya filtración de nuevos datos.
Insisten en que «hasta la fecha no hay constancia de que dichos datos, que no se almacenan en nuestros sistemas, se hayan utilizado para cometer fraude alguno. Los datos extraídos han sido exclusivamente los asociados a las propias tarjetas en sí y no a los clientes».
Según lo explicado por Luis Corrons, Security Evangelist de Avast: «tiene toda la pinta de tratarse de un ataque tipo “formjacking”, también conocido como “Magecart” (por uno de los grupos que comenzó a popularizar este tipo de ataque) o como “web skinning”. Se trata de una forma de fraude en línea que involucra la infiltración en sitios web de comercio electrónico para robar datos de tarjetas de crédito de los clientes mientras realizan compras. Los atacantes insertan código malicioso en el sitio web, que luego captura y transmite los datos de la tarjeta de crédito a un servidor controlado por los atacantes. Este tipo de ataque ha afectado a numerosas empresas y ha expuesto datos sensibles de consumidores en los últimos años, siendo uno de los más sonados el que sufrió otra compañía aérea, British Airways».
Tal y como exige la ley, Air Europa notificó en tiempo y forma los hechos tanto a la Agencia Española de Protección de Datos (AEPD), como al INCIBE, a AESA, a las entidades financieras, así como a los clientes afectados, que han recibido estas recomendaciones para minimizar la incidencia.
No es el primer hackeo que sufre Air Europa. En 2018 se robaron los datos de 489.000 clientes, entre los que se encontraba información de sus tarjetas bancarias. De entre ellas, se informó que unas 4.000 tarjetas de crédito habían sido utilizadas para cometer fraude.
Aquel hecho derivó en una multa de 600.000 euros por parte de la AEPD por incluir la ley de protección de datos. Habrá que esperar para conocer el alcance del nuevo ciberataque.
