Air Europa pide a sus clientes que cancelen sus tarjetas de crédito tras un ciberataque

Air Europa ha sufrido un ciberataque que ha robado datos financieros de sus clientes, según ha informado la aerolínea a los afectados vía correo electrónico. En el mensaje, les avisa de que la información de sus tarjetas de crédito ha sido robada y que deben cancelarlas de inmediato. elDiario.es ha preguntado a la compañía por el número de afectados y si ya se ha avisado a todos ellos de la situación, pero fuentes de la aerolínea afirman que no disponen de esos datos por el momento.

La razón es que los atacantes han interceptado las operaciones de pago con las tarjetas, no el perfil de los clientes, por lo que podría haber varias operaciones interceptadas que se hayan pagado con la misma tarjeta. “En ningún caso los ciberdelincuentes han accedido a otras bases de datos de Air Europa ni han extraído otro tipo de información personal de los clientes”, afirma la compañía en un comunicado enviado a este medio.

Según uno de los correos enviados por la aerolínea a los afectados, al que ha tenido acceso elDiario.es, los datos interceptados son el número de la tarjeta, el Código Valor de Verificación (CVV) y la fecha de caducidad. Es decir, los que se requieren para hacer pagos online, menos el nombre del titular. “Solicite la anulación/cancelación/sustitución de esa tarjeta para poder evitar el posible uso fraudulento de su información”, recalca la compañía en el mensaje.

En el caso del que ha tenido constancia este medio, la fecha de la última reserva de vuelos con Air Europa fue el 21 de septiembre. Esto implicaría que los atacantes han tenido acceso a los datos de compra de los clientes de la compañía durante varias semanas, lo que dispararía el número de afectados.

No es habitual que una empresa tenga que pedir a un gran número de clientes que lleguen al extremo de cancelar su tarjeta de crédito por un ciberataque. Por ello, muchos de los afectados han preguntado a través de las redes sociales a la compañía si esta comunicación era real. Su respuesta es que si han recibido el correo, sigan las recomendaciones porque son “las medidas necesarias para abordar [la incidencia] de manera adecuada”.

Según el equipo de sistemas de la aerolínea, el ataque ha estado dirigido “al entorno de pagos con el que se gestionan las compras a través de la web. Dicha alteración fraudulenta del flujo en el proceso de pago habría permitido la extracción de datos de las tarjetas de crédito”. Air Europa asegura que ya ha encontrado y cerrado la brecha, por lo que ya no se estarían filtrando nuevos datos financieros. A su vez, incide en que la brecha no ha ido más allá: “Los datos extraídos han sido exclusivamente los asociados a las propias tarjetas en sí y no a los clientes”.

Es un tipo de ataque habitual. “Se trata de una forma de fraude en línea que involucra la infiltración en sitios web de comercio electrónico para robar datos de tarjetas de crédito de los clientes mientras realizan compras”, explica Luis Corrons, experto en ciberseguridad de Avast. “Los atacantes insertan código malicioso en el sitio web, que luego captura y transmite los datos de la tarjeta de crédito a un servidor controlado por los atacantes. Este tipo de ataque ha afectado a numerosas empresas y ha expuesto datos sensibles de consumidores en los últimos años, siendo uno de los más sonados el que sufrió otra compañía aérea, British Airways”, añade.

La compañía insiste también en que “hasta la fecha no hay constancia de que dichos datos, que no se almacenan en nuestros sistemas, se hayan utilizado para cometer fraude alguno”. En todo caso, los ciberdelincuentes no tienen por qué utilizar los datos robados de inmediato. El potencial daño de la filtración se conocerá en los próximos días o semanas.

Además de para hacer compras no autorizadas, la información robada es jugosa para los ciberdelincuentes para realizar ataques de suplantación de entidades bancarias. En este momento está activa una campaña de ataques del falso agente, en la que los cibercriminales se hacen pasar por trabajadores del banco del que es cliente el objetivo para intentar engañarle para realizar traspasos fraudulentos. “No facilite información personal, su pin, nombre o cualquier otro dato personal a través de teléfono, mensaje o email, incluso cuando se identifiquen como su entidad bancaria”, pide Air Europa en su mail a los afectados.

Este tipo de datos también adquieren un gran valor en el mercado negro de la web oscura, donde terceros actores pueden comprar el acceso a ellos y cruzarlos con otras bases de datos robadas que puedan tener en posesión para llevar a cabo ciberataques complejos.

No es la primera vez que esta aerolínea sufre un ciberataque de esta gravedad. En 2018 medio millón de sus clientes vieron expuesta su información personal y sus datos financieros tras otra brecha de seguridad en sus sistemas. En aquel caso la Agencia Española de Protección de Datos terminó multando a Air Europa con 600.000 euros por no informar con rapidez a los afectados de la gravedad del ataque.

En caso de sospechar que la información financiera u otros datos sensibles podrían estar en manos de estafadores, la recomendación de las autoridades es comunicar lo sucedido de inmediato al banco y denunciar los hechos a la policía. El Instituto Nacional de Ciberseguridad dispone del número gratuito 017 y del teléfono de WhatsApp 900 116 117 para resolver dudas de seguridad. Atiende a ciudadanos, empresas y profesionales y es confidencial.

Sigue la actualidad en el nuevo canal de WhatsApp de elDiario.es con las claves del día y las últimas horas más importantes.