Air Europa ha sufrido un ciberataque que ha permitido a los hackers robar datos de las tarjetas bancarias de algunos de sus clientes. Los primeros en saberlo han sido las personas afectadas por este hackeo, a través de un correo electrónico que les ha enviado la propia aerolínea alrededor de las 00:30 horas de este martes, 10 de octubre.
En dicho e-mail, encabezado por el asunto "Información urgente e importante", Air Europa les ha informado de que "recientemente" se había detectado un incidente de ciberseguridad en "uno" de sus sistemas "consistente en un posible acceso no autorizado a datos de su tarjeta bancaria, concretamente a la siguiente: El número de la tarjeta bancaria finalizada en XXXX; la fecha de caducidad de dicha tarjeta; y el CVV de la tarjeta". Este último dato, el código CVV, merece que hagamos un inciso al correo para destacar que Air Europa ni ninguna otra compañía deberían almacenarlo, según establece el Estándar de Seguridad de Datos para la Industria de Tarjeta de Pago (Payment Card Industry Data Security Standard) o PCI DSS, tal y como ha señalado Samuel Parra, abogado especializado en internet, en su cuenta de X (antigua Twitter).
Sobre el problema de seguridad de Air Europa: el CVV de las tarjetas es un dato que no deberían haber estado conservando según el PCI-DSS. pic.twitter.com/SeGHQC1DNf
— Samuel Parra ️️🇪🇺 (@Samuel_Parra) October 10, 2023
El PCI DSS es de obligado cumplimiento para todo aquel que almacene, procese o transmite tarjetas de crédito y, como se observa en esta tabla, prohíbe expresamente guardar datos confidenciales de autenticación de las tarjetas de pago, es decir, el contenido de la banda magnética, el código CVC2/CVV2/CID y el PIN/Bloque de PIN. Por tanto, Air Europa podría haber incumplido esta norma estando además certificada con este estándar de seguridad en el 2020, como también ha sacado a relucir Parra compartiendo el comunicado que lanzó el grupo que está detrás de la compañía, Globalia, para anunciar la obtención de esta certificación, de la cual resaltaba que "acredita la máxima protección de sus clientes".
— Samuel Parra ️️🇪🇺 (@Samuel_Parra) October 10, 2023
No obstante, no está claro si Air Europa ha vulnerado o no este estándar ya que, en respuesta a Xataka, ha insistido en que los datos que han quedado expuestos "no se almacenan en nuestros sistemas", una afirmación que no termina de encajar con lo que les ha dicho a sus clientes al informarles de que se había detectado "un incidente de ciberseguridad en uno de nuestros sistemas".
Volviendo a su correo, la compañía prosigue remarcando su rápida reacción ante el hackeo, que ha implicado el despliegue de "todos nuestros recursos para contener el incidente" y la adopción de "todas las medidas técnicas y organizativas necesarias. Gracias a ello, hemos asegurado nuestros sistemas, garantizando el correcto funcionamiento del servicio. Adicionalmente, realizamos las debidas notificaciones a las autoridades competentes y entidades necesarias (AEPD, INCIBE, entidades bancarias, etc.)".
Air Europa aconseja anular, cancelar o sustituir la tarjeta
Dicho esto, Air Europa advierte a los usuarios que este incidente podría suponer un riesgo de suplantación de tarjetas y fraude por lo que, para prevenir este riesgo y "en aras de proteger sus intereses" les recomienda que identifiquen la tarjeta utilizada para efectuar pago/s en su página web y que soliciten a su entidad bancaria "la anulación/cancelación/sustitución de esa tarjeta para poder evitar el posible uso fraudulento de su información". Además, les aconseja que no faciliten información personal a través de teléfono, mensaje o email, "incluso cuando se identifiquen como su entidad bancaria"; que no pinchen en enlaces que les avisen de operaciones fraudulentas, si no que en lugar de ello se pongan en contacto directo con su entidad bancaria por medios constatables; y que recopilen cualquier prueba de posible uso no autorizado de su tarjeta y lo denuncien ante las Fuerzas y Cuerpos de Seguridad del Estado.
"Nuestro objetivo es evitar que situaciones similares se produzcan en el futuro, así como minimizar las posibles molestias que todo ello pueda causar. Le pedimos disculpas por los perjuicios que le hayamos podido ocasionar y nos encontramos a su completa disposición para cualquier aclaración o resolución adicional de dudas que pudiera necesitar. Asimismo, si desea obtener más información acerca de la gestión de la brecha de seguridad, contacte con nuestro Delegado de Protección de Datos en el correo: delegadopd@aireuropa.com", señala Air Europa antes de despedirse de sus clientes con un cordial saludo.
Se desconoce el alcance del hackeo y el número de personas afectadas
El ciberataque a Air Europa ha saltado a la noticia pasadas las diez horas desde el envío de este correo. En declaraciones a El Mundo, la compañía ha indicado que el incidente "habría afectado al entorno de pagos con el que se gestionan las compras a través de la web", aunque no ha precisado ni el número de afectados ni el alcance temporal del ataque. Lo que sí ha asegurado es que "los datos extraídos han sido exclusivamente los asociados a las propias tarjetas en sí y no a los clientes" y que aquellos usuarios que no hayan recibido su correo electrónico no tienen nada de qué preocuparse, pues no se encuentran entre los afectados.
Además, la aerolínea ha hecho hincapié en que su rápida intervención "ha permitido bloquear la brecha de seguridad y prevenir la filtración de nuevos datos" y que no tiene constancia de que "la filtración haya terminado utilizándose para cometer ningún fraude", aunque ha apuntado que continúa investigando el uso de la información sustraída, así como otros detalles del ciberataque.
También cabe destacar que esta filtración no solo implica el riesgo de permitir la realización de transacciones fraudulentas, como ha advertido Marc Rivero, Lead Security Researcher de Kaspersky. "Las empresas se han convertido en un objetivo clave para los ciberdelincuentes, ya que este tipo de ataques les permiten hacerse con información valiosa, tanto de la empresa como de sus clientes. Por lo general, estos datos se utilizan para realizar transacciones fraudulentas, pero también hay un importante mercado en la dark web, en la que se vende esta información, cuyo valor monetario puede alcanzar los miles de euros", ha explicado Rivero.
¿Cómo se ha perpetrado este ciberataque?
Aunque Air Europa se ha limitado a decir que el hackeo ha afectado al entorno de pagos que utiliza su web para gestionar las compras de sus usuarios, desde Avast se han atrevido a señalar cómo habrían conseguido los hackers cometer este ciberataque.
Luis Corrons, Security Evangelist de la compañía de ciberseguridad, considera que, si bien "aún no está disponible toda la información", todo apunta a que se trata de un ataque tipo formjacking, también conocido como Magecart (por uno de los grupos que comenzó a popularizar este tipo de ataque) o como web skinning. Según explica, esta ofensiva es "una forma de fraude en línea que involucra la infiltración en sitios web de comercio electrónico para robar datos de tarjetas de crédito de los clientes mientras realizan compras. Los atacantes insertan código malicioso en el sitio web, que luego captura y transmite los datos de la tarjeta de crédito a un servidor controlado por los atacantes".
Esta explicación no aclara en qué sistema se ha producido el hackeo, si en uno de la aerolínea o en otro perteneciente a su procesador de pagos. Veremos si con el tiempo se resuelve la duda, así como otros interrogantes de cómo se ha cometido exactamente el ciberataque y del alcance que ha tenido. De momento, lo cierto es que Air Europa se ha situado en el punto de mira de algunos, también de usuarios afectados que se quejan de tener que dar de baja su tarjeta y de la posibilidad de que su banco les cobre por la nueva.
Lo que igualmente es cierto es que otras muchas compañías se han visto afectadas por este tipo de ciberataque en los últimos años, que también han supuesto la exposición de datos sensibles de los consumidores, según ha resaltado el experto de Avast recordando el que sufrió otra aerolínea, British Airways, en 2018.
La OCU recela de Air Europa: pide una investigación a la AEPD
La Organización de Consumidores y Usuarios (OCU) se encuentra entre los que han situado a Air Europa en el blanco ya que, según ha informado a través de un comunicado, ha pedido a la Agencia Española de Protección de Datos (AEPD) que investigue cuándo se produjo el ataque informático que ha padecido para comprobar cuánto tiempo tardó la aerolínea en alertarlo, "porque podría suponer usos no autorizados de tarjetas anteriores a la actual alerta".
Esta solicitud pone de manifiesto las dudas de la OCU sobre Air Europa y la organización también las ha dejado entrever al recordar que en 2021 la aerolínea fue sancionada con una multa de 600.000 euros "por una mala gestión de un ataque similar", que afectó a 489.000 clientes, por comunicar las incidencias con 41 días de retraso, cuando es obligatorio hacerlo en las 72 horas siguientes.
¿Qué deben hacer las personas afectadas?
La primera medida que deben tomar, según Luis Corrons, es seguir la recomendación de Air Europa: cancelar la tarjeta bancaria a la que han tenido acceso los hackers para evitar su uso fraudulento. Una vez hecho esto, les aconseja que revisen los extractos y verifiquen que no ha habido ninguna operación inusual. "En caso de que la haya habido, contactar con la entidad emisora de la tarjeta y con las autoridades para poner la correspondiente denuncia".
En esta misma línea se han pronunciado desde la Asociación de Usuarios Financieros (ASUFIN), que también ha recomendado a los clientes de Air Europa que se hayan visto salpicados por el ciberataque a que actúen "con diligencia" y cancelen cuanto antes la tarjeta de compra usada para realizar la compara a través de la aerolínea. Así lo recoge Europa Press apuntando que ASUFIN también ha aconsejado a los usuarios que detecten una operación fraudulenta que reúnan todas las pruebas posibles para interponer la correspondiente denuncia, que igualmente formará parte del procedimiento de reclamación.
Y es que, si se produce un pago no autorizado porque un tercero haya podido acceder a los datos y credenciales de seguridad de la tarjeta, el afectado puede presentar una reclamación al banco, que deberá devolver el importe total de la operación "sin que el usuario deba responsabilizarse de ninguna cantidad", tal y como recuerda la OCU.
En cualquier caso, la OCU también recomienda seguir el consejo de Air Europa y cancelar cualquier tarjeta empleada en comprar vuelos en su página web. Además, al igual que Corrons, aconseja a los afectados que en los próximos días estén especialmente atentos a correos electrónicos o SMS en los que se soliciten los datos de su nueva tarjeta.
"Los hackers pueden aprovechar el nombre y la dirección ya en su poder para hacerse pasar por una compañía de su confianza o incluso una institución pública", asegura la organización de defensa de los consumidores, que los anima a que "ante la duda" se dirijan directamente al emisor de la solicitud por teléfono o a través de su página web para confirmar la veracidad de la comunicación.
Cómo evitar este tipo de ciberataques
Tanto la OCU como Marc Rivero han ofrecido consejos para prevenir ser víctima de este tipo de hackeos. El Lead Security Researcher de Kaspersky los ha orientado hacia las empresas, a las que ha avisado que no solo es "fundamental" que cuenten con un "buen sistema de ciberseguridad" para mantenerse protegidas, sino que también es importante que eduquen a sus trabajadores en un uso seguro de internet, "ya que un gesto tan simple como hacer clic en un enlace fraudulento a través de un dispositivo conectado a la red corporativa puede comprometer la información de toda la empresa".
La OCU, por su parte, ha dirigido sus consejos a los consumidores. Son los siguientes:
- Priorizar comercios conocidos y asegurarse de conexiones seguras (la url debe comenzar por https://).
- Si se han dejado guardados los datos bancarios en una tienda que solo se utiliza "muy de vez en cuando" lo mejor es entrar en la cuenta y eliminarlos.
- En el caso de realizar compras online a través del teléfono móvil o la tablet, debe evitar conectarse a Internet a través de redes públicas o desconocidas.
Finalmente, la OCU ha recordado que hay bancos que permiten restringir el uso de la tarjeta, desactivando la retirada de dinero en cajeros, las compras online, o los pagos en otro país, y que también hay plataformas de pago, como Paypal, que evitan tener que introducir los datos personales de la tarjeta de crédito para realizar una compra. Otra opción que propone la entidad es utilizar una tarjeta específica prepago para las compras online e ir recargándola puntualmente con el importe que se tenga previsto gastar.