El alcance del ciberataque sufrido por Air Europa es uno de los más graves de todos los que han sufrido las empresas españolas. La compañía se vio obligada a notificar a sus clientes que deben anular sus tarjetas de crédito, una medida excepcional y pocas veces vista en compañías de esta envergadura. Sin embargo, dos días de después de informar que ya había cerrado la brecha, Air Europa sigue manteniendo en secreto los detalles más relevantes sobre ella, como cuánto tiempo estuvo abierta y cuántas víctimas tuvo.
elDiario.es ha intentado recabar estos datos en varias ocasiones, sin éxito. Por ahora, el único comunicado oficial de la aerolínea es un escueto mensaje que intenta restar importancia a la situación ocultando aspectos relevantes del ataque. Entre ellos, que la brecha de seguridad había afectado a información clave de las tarjetas de crédito, como el número completo, su fecha de caducidad y el CVV (la cifra de tres dígitos que se utiliza para autorizar compras por Internet). Tampoco informaba de que había tenido que pedir a sus clientes que las anularan. Datos que solo salieron a la luz a partir de los propios afectados, que compartieron los detalles del mensaje que habían recibido.
Único comunicado oficial de Air Europa sobre el ciberataque
- Nuestro equipo de Sistemas confirmó la existencia de un problema de ciberseguridad que habría afectado al entorno de pagos con el que se gestionan las compras a través de la web. Dicha alteración fraudulenta del flujo en el proceso de pago habría permitido la extracción de datos de las tarjetas de crédito. No hay constancia de que la filtración haya terminado utilizándose para cometer ningún fraude.
- La detección y rápida intervención del equipo para la aplicación del protocolo establecido en nuestro plan de respuesta ha permitido bloquear la brecha de seguridad y prevenir la filtración de nuevos datos.
- Seguimos analizando lo sucedido, como la procedencia del ataque o el uso de la información sustraída. De todas maneras, insistimos que hasta la fecha no hay constancia de que dichos datos, que no se almacenan en nuestros sistemas, se hayan utilizado para cometer fraude alguno.
- Los datos extraídos han sido exclusivamente los asociados a las propias tarjetas en sí y no a los clientes. En ningún caso los ciberdelincuentes han accedido a otras bases de datos de Air Europa ni han extraído otro tipo de información personal de los clientes.
- Tal y como procede, se ha notificado en tiempo y forma los hechos a la AEPD, INCIBE , AESA y a las entidades financieras, así como a los clientes afectados, que han recibido un email con las recomendaciones a seguir para minimizar cualquier incidencia. En estos momentos, todos nuestros sistemas funcionan con total normalidad y podemos garantizar la seguridad de la operativa.
Fuentes de la compañía explicaron en un primer momento a este medio que no podían comunicar aspectos como la cifra de afectados ya que los ciberdelincuentes habían podido interceptar datos de las compras de vuelos, no sus bases de datos, por lo que podía haber varias compras asociadas a una tarjeta. Sin embargo, los perfiles oficiales de Air Europa en redes sociales están comunicando que ya han mandado notificación a todos los afectados, por lo que los que no la han recibido “no tienen de qué preocuparse”, algo que indicaría que la compañía cuenta con una idea bastante aproximada de las víctimas del ciberataque.
En todo caso, Air Europa tampoco ha comunicado el número de transacciones que se han visto afectadas por el ataque. Las víctimas pueden encontrarse en cualquier lugar del mundo.
El período de la brecha, clave
El número de víctimas del ciberataque dependerá en gran medida del tiempo en que la brecha de seguridad estuvo abierta, otro aspecto que Air Europa tampoco revela. Este jueves varios medios han publicado informaciones dispares a partir de fuentes de la compañía. VozPópuli asegura que el agujero estuvo abierto “dos días” y los afectados han sido 2.000. El Confidencial cita también fuentes de Air Europa y afirma que los ciberdelincuentes han estado robando datos desde “la semana pasada” y que las víctimas ascienden a 100.000.
Ninguna de las dos cifras coincide con los datos que maneja elDiario.es, que tiene constancia de una pasajera que compró sus vuelos el 21 de septiembre y ha recibido la notificación de Air Europa para que anule su tarjeta de crédito. Otros usuarios en redes sociales han reportado que sus compras fueron incluso antes, el 16 de septiembre, y que también han recibido la notificación.
La incógnita del CVV
En los aspectos más técnicos del ciberataque también existe una gran duda para los expertos en ciberseguridad: cómo han conseguido los ciberdelincuentes acceder al CVV de las tarjetas. Se trata de un aspecto clave, ya que en las regulaciones financieras y de comercio electrónico se prohíbe almacenar este dato de ninguna manera, al igual que otros como la banda magnética de las tarjetas, por ejemplo.
Si, como se deduce de su comunicación oficial, el ataque hubiera accedido a los CVV mediante la interceptación directa de las compras en su portal oficial, Air Europa no habría infringido ninguna norma. Sin embargo, esto implicaría que la aerolínea habría sufrido uno de los ataques de este tipo más graves de la historia, con sus sistemas de cobro controlados por ciberdelincuentes durante varias semanas.
Es un tipo de ataque conocido como “Magecart”. “Tiene su complicación, pero es algo que se ha hecho contra un montón de webs más pequeñas. Es como cuando le ponen un lector de tarjetas externo al lector de tarjetas del cajero y, mientras la tarjeta entra y opera, estás guardando sus datos. Es el mismo proceso”, explica el experto en ciberseguridad Jorge Louzao.
El ataque más grave de este tipo lo sufrió British Airways en 2018. La brecha estuvo abierta durante dos semanas y se tradujo en el robo de los datos de las tarjetas de crédito de 380.000 personas. En aquel momento, la aerolínea británica informó de la cifra de tarjetas cuyos datos habían sido robados desde su primera comunicación del ciberataque.
Sin embargo, hay un detalle que pone otra posibilidad encima de la mesa de los especialistas. Air Europa ya fue multada en 2021 por la Agencia Española de Protección de Datos por, precisamente, almacenar de manera irregular los CVV de sus clientes. La filtración, similar a la que se ha comunicado esta semana, ocurrió en 2018. “Me cuesta muchísimo creer que alguien cometa dos veces un error como ese. Hay tecnología para no hacerlo, no tiene sentido guardar los datos bancarios”, expone Jorge Louzao.
“Una web seria, un Amazon o un Netflix por ejemplo, no guarda jamás los datos bancarios. El sistema de estas empresas funciona con un token que es único para cada usuario y para cada plataforma. De esta forma, si les roban esos tokens no pasa nada porque si los quieren usar, cada vez que los usen estarían enviando dinero a Amazon, Netflix o la plataforma de donde los hayan sacado”, detalla el especialista.
Air Europa tampoco ha contestado a las preguntas de elDiario.es sobre este punto.